Kamu%İdareleri ve#KİT’lerde#Etkin# İçKontrol...
40
Kamu İdareleri ve KİT’lerde Etkin İç Kontrol Sistemleri Oluşturmak Kavramlar, Teknikler ve Uygulamada Karşılaşılan Sorunlara Çözüm Önerileri DR. BERTAN KAYA
Transcript of Kamu%İdareleri ve#KİT’lerde#Etkin# İçKontrol...
Kamu İdareleri ve KİT’lerde Etkin İç Kontrol Sistemleri Oluşturmak
Kavramlar, Teknikler ve Uygulamada Karşılaşılan Sorunlara Çözüm Önerileri
DR. BERTAN KAYA
1
İçindekiler 1. KİT’lerde İç Kontrol ve İç Denetim 2
2. KİT’ler İçin En Uygun İç Kontrol Modeli Hangisi 5
1.1. EFQM Modeli Nedir? 5
2.2. EFQM Modeli KİT’ler İçin Neden Uygun Değildir? 6
2.3. İç Kontrol, Toplam Kalite Yönetiminden Farklıdır 11
2.4. KİT’ler Açısından En Uygun İç Kontrol Modeli Nedir? 13
2.5. KİT’ler Ne Yapmalı? 14
3. İç Denetim, İç Kontrol ve Risk Yönetiminde Kullanılan Yazılımlar 16
4. İç Kontrol Nedir? Ne Değildir? İç Kontrol Sistemi Nasıl Oluşturulur? 18
5. İç Kontrolün Özü Nedir? 23
6. Kurumsal Verimliliğin Arttırılmasında Yeni Bir Araç: İç Kontrol 25
7. Kamu İdarelerinde İç Kontrol Oluşturmada Kritik Başarı Faktörleri 33
7.1. İç Kontrol Sistemi Oluşturmada Kritik Başarı Faktörleri 34
8. Kamu İdarelerinde Etkin İç Kontrol Sistemleri Nasıl Kurulabilir? 35
9. İletişim Bilgileri 38
2
1. KİT’lerde İç Kontrol ve İç Denetim
Yakın zamana dek kamuda iç kontrol ve iç denetime ilişkin düzenlemelerin (5018 sayılı Kanun ve ilgili
düzenlemeler) dışında kalmış olan Kamu İktisadi Teşebbüsleri (KİT’ ler) 2013/5503 sayılı Kamu İktisadi
Teşebbüsleri ve Bağlı Ortaklıklarının 2014 Yılına Ait Genel Yatırım ve Finansman Programının Tespiti
Hakkında Karar ile bünyelerinde iç kontrol ve iç denetim sistemleri oluşturmak durumundadırlar. Bahse konu
Kararname Eki’ nin 24. Maddesi, İç Denetim ve İç Kontrole ilişkin esasları ortaya koymaktadır. Bu Madde; tüm
KİT’ lerde, 2014 yılı sonuna kadar iç denetim sistemlerinin, 2015 yılı sonuna kadar ise iç kontrol
sistemlerinin oluşturulmasını zorunlu kılmaktadır. Yine bu Madde kapsamında KİT’ ler, oluşturacakları İç
Kontrol Eylem Planlarını 2014 yılının Temmuz ayına kadar Hazine Müsteşarlığına ulaştırmak durumundadırlar.
2014 senesi sonunda ise, gerçekleştirdikleri tüm çalışmalar ile ilgili bir “İlerleme Raporu” hazırlayacaklardır.
Bilindiği üzere KİT’ ler, genel olarak kamusal kaynakları kullanmak yoluyla ekonomik alanda faaliyet
gösteren Devlet Kuruluşlarını ifade etmektedir. 233 sayılı KHK’de KİT’ler, iktisadî devlet teşekkülleri ve kamu
iktisadî kuruluşları olarak ikili bir ayırıma tabi tutulmuşlardır. 2000′ li yılların başına dek, siyaset kurumunun arka
bahçesi, verimsiz, geri kalmış ve zarar eden kuruluşlar olarak görülen KİT’ ler, son 10 sene içinde, Özelleştirme
politikaları ve Mali Disiplin ilkeleri çerçevesinde yönetim teknikleri ve bilgi teknolojileri bağlamında çağı
yakalamaya çalışan, daha verimli olmaya gayret eden, stratejik planlar yapan, kendisini yenilemeye çalışan
kuruluşlar olmaya çalışmaktadır. 2013 sonu ve 2014’ün ilk çeyrek dönem verileri ışığında, KİT’ lerin bir kısmının
karlı, diğer bir kısmının da zararda olduğunu görmek mümkündür. Bu anlamda iç kontrol ve iç denetim
mekanizmalarının KİT’ lerin görev zararını azaltıcı ve karlılığı artırıcı yönde katkı sağlaması beklenmektedir.
Bahse konu Kararname kapsamında bünyelerinde iç denetim ve iç kontrol sistemleri oluşturmaları gereken KiT’
ler bu durumu bir fırsata çevirebilir ve operasyonlarını iç kontrol ve iç denetim güvencesi altına alabilirler. KİT’
lerin stratejik, operasyonel, mali ve uygunluk hedeflerini gerçekleştirebilmeleri için iç kontrol ve iç
denetim sistemlerinin büyük katkısı olacaktır. Bu noktada, kendi kurum ve kuruluşlarında iç kontrol ve iç
denetim sistemleri oluşturmaya yönelik çalışmakla görevlendirilen uzman ve yöneticiler bazı konulara dikkat
etmelidirler. Bu konuları aşağıda özetlemeye çalışacağız:
3
• İç denetim fonksiyonu oluşturma girişimi, hali hazırda KİT’ lere hizmet veren Teftiş Kurulları ve Müfettişleri
tarafından tepki görebilir. Uzun yıllar boyunca ağırlıklı olarak uygunluk denetimi hizmeti sağlayan bu
Kurulların, iç denetime karşı olumuz tavır ve tutum içinde olmaları işin baştan başarısız olmasına neden
olacaktır. Bu tepkilerin iyi yönetilmesi, Kurulların devamlılığına ve hizmetlerine yönelik bir tehdit
olmadığının iyi açıklanması ve Kurul mensuplarının bu konuya daha sıcak bakmaları
sağlanmalıdır. Teftiş Kurulları, iç denetim sistemi oluşturma girişim ve çabalarına mutlaka dahil edilmeli,
her aşamada fikirleri alınmalı, iki birim arası görev ayrıştırması ve koordinasyon konusunda düzenlemeler
öncelik taşımalıdır. Esasen, KİT’ lerde iç denetim ve teftiş kurulu mekanizmalarının birbirlerini
destekleyen, geliştiren ve birbirleri ile işbirliği içinde olan yapılar olduğu, etkili iletişim ve işbirliği ile
kurumlarına daha fazla değer katma fırsatı yakaladıkları kurumsal algı olarak kabul görmelidir.
• İç kontrol sistemi, belirli bir kurumsallık ve standardizasyon çerçevesinde çalışmaya alışkın olmayan KİT’
ler açısından faydalı bir teşvik edici olacaktır. Özellikle kurum genelinde, iş süreçlerinin tanımlanması,
görev tanımlarının belirlenmesi, işlere ilişkin risk analizleri gerçekleştirilmesi, kontrol mekanizmalarının
gözden geçirilmesi ve kurumsal bilgi sistemi ve raporlama süreçlerinin iyileştirilmesine yönelik
eylemler ile yetki ve sorumlulukların netleştirilmesi, kurumsal sorun, darboğaz ve verimsizliklerin
belirlenmesi ve bunlara çözüm bulunması mümkün olacaktır. Bu denli faydalı bir çalışmanın, kurum üst
yönetimi ve diğer birimler nezdinde kabul görmesi için ne olduğunun ve faydasının çok iyi anlatılması
gerekmektedir. Bu amaç ile kurum dışından uzmanların seminer ve sunumlar ile üst yönetim ve
birim yöneticilerini bilgilendirmesi önerilmektedir.
• İç kontrol sisteminin, kalite yönetimi, teftiş, denetim ya da yeniden yapılandırmadan farklı bir konu olduğu
ve kurumsal iş ve işlemlerin en önemli destekleyicisi olduğu iyi anlaşılmalıdır. İç kontrol, bir
dokümantasyon ya da sertifikasyon işi değildir. Aksine, günlük, haftalık ve aylık iş ve işlemler ile bunların
oluşturduğu iş süreçlerinin risklerden arındırılmış şekilde yönetilmesine ve yönetsel seviyelerde isabetli ve
iyi karar verilmesine zemin hazırlar. İç kontrol, mevcut durumda, mevcut koşullar ve kısıtlar çerçevesinde
bir KİT’ in kurumsal performans anlamında en iyisini yapmasını sağlayan bir sistemdir. Bunu kontrol
ortamı, bilgi ve iletişim sistemlerini güçlendirmek ve kontrol faaliyetlerini, riskleri minimize etmeye yönelik
olarak iyileştirmek ile sağlar. Diğer pek çok yönetsel araçtan farklı olarak, bir bilgi sistemi (yazılım)
aracılığı ile yönetilmesi zorunludur. İç kontrol sistemini, zorunluluk sebebi ile üretilen bir doküman
yığını olarak değil, çeşitli seviyelerde yöneticileri risklere karşı koruyan ve kurumsal performansı
artırmaya yönelik olan ve bilgi sistemleri ile desteklenen bir yönetim sistemi olarak görmek gerekmektedir.
• İç kontrol kurum içinde her seviyede yönetici ve personelden oluşturulacak bir çalışma ekibi ile kurulmalı
ve desteklenmelidir. Çalışma ekibi iç kontrole ilişkin iyi eğitim almalı, konuyu iyi kavramalı ve
kurum içinde iyi izah etmelidir. Kendi birimlerinin iş ve işlemlerine hakim, saygı duyulan, çalışkan ve
vizyonu açık kişilerin iç kontrol ekiplerinde yer almaları önemlidir.
• Hem iç denetimde, hem de iç kontrolde, uluslararası standartlar ve iyi uygulamalar baz alınmalıdır. İç
kontrol sıklıkla kalite yönetimi ile karıştırıldığından, EFQM, Six Sigma, Iso 9001:2008, vb. kalite modellerinin iç kontrolün yerini tutmayacağı bilinmelidir. Zaten bu modellerin kamu kaynaklı kurum
ve kuruluşlarda başarılı olma imkan ve ihtimali iç kontrole oranla düşüktür. Özünde “sürekli
iyileşmeyi” hedefleyen bu araçlar ile mevcut durum ve koşullar dahilinde risklerin azaltılması ve
performansın artırılmasını hedefleyen ve iyileşmeyi daha düşük maliyet ile ve kısa sürede sağlayan iç
kontrol arasındaki en büyük fark, uygulanabilirliktir. Kalite yaklaşımları ve modelleri çeşitli sebepler ile
4
kamuda uygulanabilir ve sürdürülebilir değildir. Bu sebepler , KİT’ lerde işlemlerin yoğun olarak mevzuat
dahilinde yürütülmesi, sürekli dış denetim altında olunması, personel rejiminin ve performans yönetiminin
bulunmaması nedeni ile “sürekli iyileşmenin” pratik olarak mümkün olmaması ya da uzun zaman alacak
olmasıdır (mevzuat değişikliği, performans ödüllendirmesi, vb. konular sıkıntılıdır). İç kontrol ise bir “öz
değerlendirme” çalışması olup, mevcut koşul ve durumlarda en iyiyi yapmaya ve performansı artırmaya
odaklıdır. Risk profilinde yapılan küçük iyileştirmeler ve mevcut kaynakların etkili ve verimli kullanılmaya
başlanması ile önemli katkılar sağlar. İç kontrolde; 5018 sayılı Kanun ve İç Kontrol Düzenlemelerinde
de yer alan COSO İç Kontrol Modeli ve buradan türetilmiş olan Kamu İç Kontrol Standartları baz
alınmalıdır. COSO Modeli, KİT ‘ler için EFQM başta olmak üzere pek çok kalite modelinden çok
daha uygulanabilir ve gerçekçi bir modeldir.
• İç kontrol ve iç denetim konularında danışmanlık hizmeti alınması doğrudur. Ancak bu hizmetlerin kimden
alınacağı önem arz etmektedir. NOYA (Ne iş olsa yaparım ağabey) olarak tabir edilebilecek ve geniş
yelpazede pek çok hizmeti verdiğini iddia eden, özünde süreç ya da kalite danışmanı olan şirketlerden
uzak durulması önerilmektedir. İç kontrol ve iç denetim özel uzmanlık gerektiren ve oluşturulurken
hata affetmeyecek sistemlerdir. Bu sistemlere yönelik çalışmalar mutlaka bunlara ilişkin ciddi
uzmanlığı ve mesleki sertifikasyonları (CIA, CCSA, CRMA) olan kişiler tarafından desteklenmeli ve
danışmanlık hizmeti sağlayan şirket ya da kişiler çok detaylı şekilde sorgulanmalıdır. İç kontrol
danışmanlığını, bilgi sistemleri desteği olmadan ve kısa süre içinde verebileceği iddiası ile yaklaşan kişi
ya da şirketlerden uzak durulmalıdır.
5
2. KİT’ler İçin En Uygun İç Kontrol Modeli Hangisi Bilindiği üzere Kamu İktisadi Teşebbüsleri (KİT’ler), 2013/5503 sayılı Kamu İktisadi Teşebbüsleri ve Bağlı
Ortaklıklarının 2014 Yılına Ait Genel Yatırım ve Finansman Programının Tespiti Hakkında Karar ile bünyelerinde
iç kontrol ve iç denetim sistemleri oluşturmak durumundadırlar. Bahse konu Kararname Eki’nin 24. Maddesi, İç
Denetim ve İç Kontrole ilişkin esasları ortaya koymaktadır.
Bu madde; tüm KİT’lerde, 2014 yılı sonuna kadar iç denetim sistemlerinin, 2015 yılı sonuna kadar ise iç kontrol
sistemlerinin oluşturulmasını zorunlu kılmaktadır. Yine bu madde kapsamında KİT’ ler, oluşturacakları İç Kontrol
Eylem Planlarını 2014 yılının Temmuz ayına kadar Hazine Müsteşarlığına ulaştırmak durumundadırlar. Yine 2014
senesi sonunda ise, gerçekleştirdikleri tüm çalışmalar ile ilgili bir “İlerleme Raporu” hazırlayacaklardır.
Bahse konu Kararname Ekinde İç Kontrol; “kamu iktisadi teşebbüslerinin amaçlarına, belirlenmiş politikalara ve
mevzuata uygun olarak faaliyetlerinin etkili, ekonomik ve verimli bir şekilde yürütülmesini, varlık ve kaynaklarının
korunmasını, muhasebe kayıtlarının doğru ve tam olarak tutulmasını, malî bilgi ve yönetim bilgisinin zamanında
ve güvenilir olarak üretilmesini sağlamak üzere kamu iktisadi teşebbüsleri tarafından oluşturulan organizasyon,
yöntem ve süreçler ile iç denetimi kapsayan kontroller bütünüdür” şeklinde tanımlanmıştır. Bu tanım, 5018 Sayılı
Kamu Mali Yönetim ve Kontrol Kanunu’nun 55. Maddesinde yer alan “İç Kontrol Tanımı” ile birebir aynıdır.
Bakanlar Kurulunca 30.09.2013 tarihinde kararlaştırılmış olan ve 08.11.2013 tarihli Resmi Gazete’ de
yayımlanmış olan 2013/5503 tarih/sayılı Karar’ın, “İç Kontrol Sisteminin Oluşturulması” başlıklı 24. Maddesinde,
KİT’lerde iç kontrolün ve iç denetimin kamu iç kontrol mevzuatı ile uyumlu olarak yapılandırılmasının öngörüldüğü
anlaşılmaktadır. Bu konuda yapılacak ikincil ve üçüncül düzey mevzuatın halihazırdaki kamu iç kontrol mevzuatı
ile uyumlu olacağı yönünde bir beklenti oluşmuştur.
Öte yandan Hazine Müsteşarlığı’nın KİT’ler ile ilgili Genel Müdürlüğü’ nün bu alanda görevli uzmanları tarafından
KİT’lerde İç Kontrol Sistemi Oluşturma amacı ile EFQM Modelinin uygulanması tavsiye edilmektedir. Bu tavsiye,
pek çok KİT açısından kafa karışıklığına neden olmuştur. Ülkemizin yaygın ve en çok kabul gören iç kontrol
mevzuatı sadece kamu idareleri değil, halka açık şirketler ve bankacılık sektörü için de “COSO modeli” olarak
belirlenmiştir. AB Ülkelerinde hem kamu hem de özel sektörde iç kontrol standardı olarak COSO belirlenmiştir.
Ülkemiz kamu sektöründe de 5018 sayılı Kanuna dayanan Kamu İç Kontrol Standartları Tebliği’ de COSO’ yu baz
almıştır. Tüm dünyada iç kontrol denildiğinde akla gelen en önemli model olan COSO modeli dururken, üstelik bir
iç kontrol modeli olmayan (EFQM bir toplam kalite yönetim modelidir) EFQM modelinin “iç kontrol” amaçlı olarak
önerilmesinin doğurabileceği olumsuz sonuçlar ve KİT’lerin bu konuda yapmaları gereken çalışmalar yazımızın
konusudur.
1.1. EFQM Modeli Nedir?
Öncelikle, KİT’lere iç kontrol çalışmaları için önerilen EFQM Modeline bakalım. EFQM elbette son derece faydalı,
değeri tartışılmaz bir modeldir. Ancak modelin amacı, stratejileri ve ulaşmaya çalıştığı sonuçlar, iç kontrol
6
modellerinin amaç, strateji ve elde etmeye çalıştığı sonuçlardan farklılaşmaktadır. Neticede EFQM Modeli bir iç
kontrol modeli değildir ve iç kontrolü bütünüyle kapsadığı da iddia edilemez.
EFQM Modeli Toplam Kalite Modelinin uygulanmasında ve yaygınlaştırılmasında kullanılan ana
araçlardan/modellerden biridir. EFQM’in açılımı Avrupa Kalite Yönetim Vakfıdır. Avrupa Kalite Yönetim Vakfı
(EFQM) 1988 yılında Avrupa’nın önde gelen 14 şirketi tarafından “Avrupa’da sürdürülebilir mükemmelliğin itici
gücü olma” misyonu ve “Avrupalı kuruşların mükemmelliğe eriştikleri bir dünya” vizyonu ile kurulmuş, üyelik
sistemine dayanan ve kar amacı gütmeyen bir kuruluştur. EFQM, EFQM mükemmellik modelinin sahibidir ve
Avrupa Kalite Ödülü sürecini yönetir. Türkiye ortağı ise KALDER’dir.
Avrupa Kalite Yönetimi Vakfı (EFQM) sektör, büyüklük, yapı, yada gelişmişlik düzeyinden bağımsız olarak
kuruluşların sürdürülebilir mükemmelliğe ulaşmalarını teşvik etmek üzere bir yönetim sistemi kurmaları gereğini
vurgulamaktadır. Bu amaçla oluşturulan Mükemmellik Modeli, kuruluşlara mükemmelliğe giden yolun neresinde
olduklarını gösteren, darboğazlarını saptamalarını sağlayan ve uygun çözümlere ulaşabilmek için belli bir
yaklaşımın kullanılmasını öneren bir araçtır. EFQM Mükemmellik Modeli, 9 ana kriter, 32 alt kriter, 200’den fazla
ilgili alandan oluşur. Performansa, müşterilere, çalışanlara ve topluma yansıyan mükemmel sonuçlar, politika ve
stratejinin, çalışanların, kaynakların ve süreçlerin uygun bir liderlik anlayışıyla yönlendirilmesi ile sağlanır.
Performansla ilgili tüm boyutlarda sürdürülebilir mükemmelliği gerçekleştirmek üzere pek çok yaklaşımın
olabileceği gerçeği üzerine kurulmuş olan model aşağıdaki ifadeye dayanır: Performansa, müşterilere, çalışanlara
ve topluma yansıyan mükemmel sonuçlar, politika ve stratejinin, çalışanların, kaynakların ve süreçlerin uygun bir
liderlik anlayışıyla yönlendirilmesi ile sağlanabilir.
Sektörü, büyüklüğü, yapısı ve olgunluk düzeyi ne olursa olsun bir kuruluş, başarılı olmak için düzgün bir yönetim
sistemi kurmalıdır. EFQM Mükemmellik Modeli, kuruluşların mükemmellik yolunda ilerleyip ilerlemediklerini
ölçerek yönetim sistemlerini geliştirmeleri konusunda onlara yardımcı olan pratik bir araç niteliği taşır; kuruluşların
kuvvetli yönlerini ve iyileştirmeye açık alanlarını görmelerini sağlayarak onları çözümler üretmeleri konusunda
teşvik eder. EFQM Avrupa’da veya Avrupa dışında denenmiş en iyi uygulamalarla ilgili girdileri toplayarak modeli
güncelleştirir. Böylelikle, modelin dinamik olması, yönetim konusundaki güncel görüşleri yansıtması sağlanmış
olur.
2.2. EFQM Modeli KİT’ler İçin Neden Uygun Değildir?
Tezimiz EFQM’ in KİT’ler için sadece uygun bir iç kontrol aracı olmadığı değil, aynı zamanda KİT’ler için uygun bir
TKY Uygulama/Yaygınlaştırma modeli de olmadığıdır. Elbette başta KALDER olmak üzere, modeli Türkiye’ de
temsil eden ve yaygınlaştırılmasını hedefleyen pek çok “kalite uzmanı” bu görüşe katılmayacak ve EFQM’ in her
sektör ve koşulda uygulanabileceğini iddia edecektir. Bu iddiaların bir kısmı iyi niyetli, bir kısmı ise Türkiye’ de
kalite yönetimi ekosistemini güçlendirmek ve ekosistemin uzmanlarını beslemek amaçlı karşı çıkışlar olacaktır.
Oysa ki kalite yönetiminin Türk Kamu Sektöründe uğradığı büyük hüsran ve başarısızlık herkes tarafından
7
bilinmektedir. 90’ lı yılların sonundan, 2000’li yılların ortalarına dek devam etmiş olan kalite furyası kimi
kurumlarda ISO 9001, kimi kurumlarda TKY, kimi kurumlarda EFQM denemeleri olarak başlamış, ancak maalesef
başarıya ulaşamamıştır.
Bu noktada, ne KALDER ne de Türkiye’ de TKY’nin öncülüğü ve savunuculuğunu yapan kurum veya kişileri asla
suçlamıyoruz. Sonuçta TKY de, bunu yaygınlaştıran EFQM, Six Sigma, ISO gibi modeller de, hem dünyada hem
de Türkiye’ de özel sektörde başarı sağlamış araçlardır. Şirketlerin performansını olumlu etkilemiş, yönetim
iklimini güçlendirmiş, şirketleri sürdürülebilirliğe taşımış modellerdir. Ancak bu modellerin özel sektörde yakaladığı
başarıyı kamusal nitelikli yapılarda yakalaması (istisnalar kaideyi bozmamaktadır) zordur. Bu anlamda, başarı
kadar, başarısızlığın da irdelenmesi gerektiğini düşünüyoruz.
EFQM’ in bir iç kontrol modeli veya alternatifi olmadığı gerçeğini bir tarafa bırakırsak, Kamu sektöründeki
kurumların ki buna kamu sermayeli olan ve bir yönüyle kamusal boyutu bulunan KİT’ler de dahildir, EFQM ve
benzeri TKY modellerinden kalite yönetimi bağlamında dahi neden fayda sağlayamayacakları, bu çaba ve
yatırımların neden boşa gideceği, kamu kaynaklarının neden israf olacağı konuları, yakın geçmişteki denemeler
ve kamunun özel kültür ve koşulları dikkate alınarak irdelenmelidir.
EFQM ve benzeri TKY yaklaşımlarının başarı sağlamaları için belirli koşulların ve kurumsal iklimlerin sağlanması
veya sağlanabilecek olması gerekmektedir. Bu koşulların olmaması halinde, EFQM modeli, bir hüsrandan ve
gereksiz kaynak ve zaman israfından öteye gitmez.
EFQM ve benzeri modellerin başarı ile uygulanması, kurumların bundan fayda sağlaması için bu modellerin
gerektirdiği kurumsal iklim ve özelliklere bakmak lazımdır. KİT’lerde bu kurumsal iklim ve özelliklerin bulunduğunu
iddia etmek oldukça güçtür. EFQM’ in bırakın bir iç kontrol modeli olarak işlev göstermesi, esas fonksiyonu olan
bir kalite yönetim sistemi olarak dahi işlev gösterebilmesi, aşağıdaki koşulların varlığına bağlıdır:
• Üst yönetimin Toplam Kalite Yönetimi (TKY) konusunda bir farkındalığa ve inanca sahip olması, TKY’ ye
büyük bir inanç duyması,
• EFQM’ in sürekli iyileşme ve iyileştirme odağı nedeni ile Mevzuatın esnek veya değiştirilebilir olması,
iyileştirmelere eş zamanlı değişiklikler ile cevap vermesi,
• Üst yöneticilerin, siyasi unsurlardan bağımsız olarak vizyon, misyon, stratejik plan, yatırımlar ve diğer
kurumsal alanlarda özgürce liderlik sergileme imkanlarına sahip olmaları,
• Performansın etkin olarak stratejik, süreç ve personel seviyesinde ölçülebilmesi, ölçüm sonucunda
yüksek performansa dönük bir ödüllendirme yapabilme imkanları,
• Birimler ve kişiler arası iletişimin sinerjik ve takım çalışmasına uygun olması, kurum içinde bireysel
kaygılar yerine kurumsal amaç ve hedeflere odaklanma alışkanlığı bulunması,
• Birim/Fonksiyon bazlı değil, süreç bazlı düşünme ve faaliyette bulunma anlayışı ve uygulamalarının
bulunması,
8
• Personel moral ve motivasyonu ile kurumsal inancının, EFQM modeli tarzı bir adanmışlığı destekler
mahiyette olması, en alttan en üste tüm çalışanların EFQM Modeline ve üreteceği sonuçların, kurumu
daha çalışılabilir yapacağına inanmaları,
• Kurumun insan kaynaklarının, EFQM modelinde yer alan girdi-çıktı, kaynak-verimlilik ve iyileşme-sonuç
ilişkilerini ve bu ilişkilerdeki İK rol ve sorumluluklarını anlayan, algılayan ve katkı sağlayabilecek
yetkinliklere açık olması,
• Piyasadan yetkin iş gücünü sağlayabilecek mali ve hukuki imkanlara sahip olunması, performansı düşük
ve uyumsuz kişilerin kurumdan uzaklaştırılmasına imkan veren bir mevzuata sahip olunması,
• Atıl kapasite, verimsiz süreçler ve kurumsal darboğazları çözmeye yönelik, yönetsel inisiyatif kullanma
alanına sahip olunması.
Temelde bir öz değerlendirme modeli olan ve kurumları mükemmellik tabanlı bir yönetim sistemine doğru
ilerletmek amacını güden EFQM inisiyatifleri, KİT’lerde karşılarında bu koşulları bulabilecek midir? Dikkat edilir
ise, bu koşulların, EFQM modelinin düzelteceği unsurlar değil, işe başlamak ve başarı sağlamak için gerekli
kriterler olduğunu ifade etmek istiyoruz.
Bu kriterleri KİT’ler açısından değerlendirmeden, bazı koşulların varlığını aramadan, EFQM modelini gözü kapalı
şekilde uygulatmaya çalışmak, büyük bir hata olacaktır.
Öncelikle, EFQM Modelinin liderlik ve strateji eksenlerinden konuya bakalım.
KİT’lerin yöneticileri her ne kadar iyi niyetli, yetkin ve başarı odaklı olurlarsa olsunlar, bir takım siyasi ortamlardan
bağımsız değildirler. Devletin, KİT’ leri yönetmek amacıyla görevlendirdiği Yönetim Kurulları ve Üst Yöneticilerin,
siyasi bir etki alanı dışında kaldığını iddia etmek mümkün değildir. Üstelik de bu yöneticilerin, sürekliliğine yönelik
de hiç bir güvence bulunmamaktadır. Sürekli iyileşme, verimli çalışma, insan kaynaklarını geliştirme, süreç, ürün
ve hizmetleri pazar ve müşteri ihtiyaçları ile eşgüdümleme, kaynakları ekonomik olarak elde etme, rekabetçi bir
kültür oluşturma, stratejik yönetim ve en önemlisi sonuçlar bağlamında performans yönetimi gibi temellere
dayanan EFQM modeli, güçlü ve hareket serbestisi olan bir liderlik gerektirmektedir. Oysa ki, KİT’lerde üst
yöneticiler; kurmayları, diğer yöneticiler, siyasi unsurlar ve personel arasında bir güç dengesi kurmak
durumundadırlar. Bu dengeyi, kamuyu bilen, kamuda yöneticilik yapmış herkes bilir. KİT’lerde üst yöneticiler
attıkları her adımda, aldıkları her kararda mutlaka dengeleri göz önünde bulundurmak zorundadırlar.
Özel sektördeki üst yöneticiler, daha geniş bir hareket alanı ile sadece performansa ve sonuçlara
odaklanabilmekte, denge arayışının verdiği zararlardan korunabilmektedirler.
EFQM modelinin KİT’lerde başarısız olmasına yönelik en büyük risklerden bir tanesi budur.
9
Bu durumun son derece farkında olan KİT yöneticileri “haklı olarak” günü kurtarmak, çıkan yangınları söndürmek,
kurum itibarını ve mali yapısını korumak, görev süresi içinde önemli sorun yaşamamak ve siyasi tercihler ile
uyumlu işler yapmak gibi gündemlerin peşine düşmektedirler. Elbette bir takım icraatlar yapılmakta, iyileştirmeler
hedeflenmekte, insanlar motive edilmekte ve kurumların ileri gitmesi arzu edilmektedir. Ancak EFQM gibi güçlü ve
az kısıtlı liderlik gerektiren modellerin başarı ile uygulanması, KİT üst yöneticilerinin sahip olduğu doğal kısıtlar
sebebi ile gerçekçi değildir. Gayet iyi niyetle başlatılan pek çok kalite inisiyatifinin, bir noktada başarısız olması da
ağırlıklı olarak bu sebepledir.
Konuya çalışanlar ekseninden bakıldığında, durum en az üst yönetim ve liderlik eksenindeki kadar sıkıntılıdır.
KİT’lerin ücret tavanları, performans ve ödüllendirme mekanizmaları bulunmaması, İK uygulamalarının özel sektör
uygulamalarından oldukça farklı olması, insan kaynaklarının işe yönelik moral ve motivasyonunu olumsuz yönde
etkilemektedir. Ücretlendirmeye ek olarak, atama ve terfi işlemlerinin siyasi etkilerden uzak olmaması ve
hakkaniyet ilkesinin sağlanamaması da, KİT personelinin iş verimini ve motivasyonunu bir hayli olumsuz
etkilemektedir. Buna ek olarak kamunun genelinde olduğu gibi iş yükünün birimler ve kişiler üzerinde adil
dağılmamış olması, çalışanın daha çok çalıştırılması, çalışmayanın hiç çalıştırılmaması, çalışan ve üreten ile
çalışmayan ve atıl kalanlar arasındaki farkın ücret ve terfilere yansıtılmaması gibi olumsuz unsurlar nedeni ile KİT
çalışanları, yeni iş ve projelere yönelik motivasyona sahip değildirler. EFQM modeli sadece mikro bir araçtır. Bu
aracın makro konulardan kaynaklanan sıkıntılara derman olmayacağı çok iyi bilinmektedirler. Neticede EFQM ve
benzeri modellerin KİT’lerin genel mevzuatı, sektör uygulamaları ve siyasi etki alanlarından kaynaklanan riskleri
ortadan kaldırmayacağını KİT personeli de bilmektedir.
Bu koşullar, KİT’lerde çalışanların, son derece büyük adanmışlık, inanç, motivasyon ve çalışma gerektiren EFQM
veya benzeri modellere şüphe ile bakmasına yol açmaktadır. Hele ki geçmişte yürütülen kalite çalışmalarının
hüsran ile sonuçlandığı, netice üretmediği ve insanları boş yere yorduğu gerçekleri de göz önünde
bulundurulduğunda, EFQM inisiyatiflerinin personelin büyük çoğunluğu arasında kabullenme alanı bulamayacağı
görülmektedir. EFQM çalışmaları büyük ölçüde, kurum içinde bir grubun sorumluluğuna verilecek ve geniş katılım
ile yürütülemeyecektir. Bu grup ise herhangi bir teşvik veya ödül mekanizmasının bulunmaması nedeni ile ve yine
“haklı olarak” gerektiği ölçüde motive ve üretken olamayacaktır. EFQM eğitim slaytları, öz değerlendirme çıktıları,
iyileşme planları ve raporlar birer “dokümantasyon çalışması” ve “iyi niyet girişimi” olarak kütüphaneleri ve
çekmeceleri süsleyecektir.
İşin süreç boyutuna bakıldığında, KİT’lerin tabi oldukları mevzuat çerçevesinde, görev ve sorumlulukların
fonksiyonel bazda dağıtılmış olduğu görülmektedir. Silolar ile yönetim olarak bilinen bu durum, kurum içinde
departmanların kendi güç alanlarını oluşturmalarına neden olmuş, birbirleri ile iletişim ve işbirliği seviyeleri düşük
iş Birimleri ortaya çıkmıştır. Şirketin amaç ve hedeflerinden ziyade, silo mantığı ile kendi amaç ve hedeflerine
odaklı bir yönetim anlayışı ve kurumsal kültür dairesinde çalışan bu Birimlerin “süreçlerle yönetimi”, “oldukça
güçtür. Mevzuat ile uyumlu olarak belirlenen görev, yetki ve sorumluluklar çerçevesinde hareket etme zorunluluğu
olan ve dış denetime (Sayıştay denetimi) tabi yapılarda, işlerin silo mantığı ile değil, süreç mantığı ile
reorganizasyonu mümkün değildir. İyi niyetli olarak süreç yönetimi çalışmaları yürütülse ve süreç yönetiminin bazı
unsurları sağlanabilse dahi, yetki ve sorumlulukların, süreçlerle yönetimi destekler şekilde düzenlenmesi oldukça
10
zor gözükmektedir. Birim yöneticilerinin fonksiyonel bazda yetkili ve sorumlu kılındığı bir organizasyon yapısında,
süreçlerle yönetimi sağlamaya yönelik olarak ciddi mevzuat değişikliklerinin gerektiği çok açıktır.
Ayrıca KİT’lerin ürün/hizmet sunumu boyutu itibariyle de kısıtları bulunmaktadır. KİT’ ler kendi üretecekleri
ürünleri veya sunacakları hizmetleri kendi inisiyatifleri ile belirleme, sürekli inovasyon yapabilme, verimli çalışma,
kapasite artışına gitme, ciddi yatırım kararları verme ya da yalın üretim gibi bazı teknikleri kullanma konularında
tek başlarına yetkili değildirler. Mevzuat ve ortaklık yapısı burada da KİT’leri sınırlamaktadır. En alttan en üste
verimliliği, ekonomikliği ve etkililiği göz önünde bulunduran, üretim ya da hizmeti müşteri ihtiyaçları ile hızla
eşgüdümleyebilecek, ve ayrıca ürün/hizmette sürekli iyileşme sağlayacak stratejileri uygulama ve finanse etme
noktasında da hareket alanları geniş değildir.
Özel sektörde ise gerek süreç boyutunda, gerekse ürün ve hizmet sunumu boyutunda, hareket alanlarını
sınırlayan teorik bir engel yoktur. Şirketler, üretecekleri tüm ürün ve hizmetleri özgürce belirleyebilmekte,
istedikleri gibi fiyatlayabilmekte, müşteri ihtiyaçları ve Pazar talepleri doğrultusunda geliştirebilmekte, pazarı
yönlendirecek pazarlama faaliyetleri içine girebilmekte, gerekli yatırım kararlarını alabilmekte, finansman
kaynaklarına rahatça erişebilmektedirler.
KİT’ler sermayesi devlete ait olan ve kamu kaynaklarını kullanan kurumlardır. KİT’lerin nihai amaçları özel sektör
şirketleri gibi kar maksimizasyonu veya hisse başına düşen kazancı artırmak değildir. KİT’ler kamu yararı
sağlamak misyonu ile hareket etmektedirler. KİT’lerin, özel sektör şirketlerinde olduğu gibi varlıklarını sürdürme
amaçları da yoktur. Bunun için özel bir dikkat sergilemezler. KİT’lerle özel sektör şirketleri arasındaki bu kritik
farklılık ve KİT zararlarının Hazine tarafından kapatılacağı gerçeği, KİT’lerde mali sorumluluk bilincinin oluşmasını
engellemiş, sorumluluk ve hesap verebilirlik konuları, yasa ve mevzuata uygun faaliyette bulunmak düşüncesi ile
sınırlı kalmıştır. Ayrıca yönetici ve personelin görevlerini sürdürebilmelerinde, gösterdikleri performansın etkili
olmaması, siyasi etkilerin rasyonel kararların önüne geçmesi ve sıkı mevzuat düzenlemeleri KİT’lerin özel sektör
şirketleri gibi değerlendirilemeyeceğini ortaya koymaktadır.
Bu bağlamda strateji, sistem, süreç, kaynaklar, ürün ve hizmetlerde sürekli iyileşmeyi ve bu sayede, performansı
artırarak, iş sonuçları elde etmeyi hedefleyen EFQM Modelinin başarı olasılığı yukarıdaki sebepler nedeni ile
düşüktür. KİT’lerin ortaklık yapısı, yönetim kısıtları, sürekli iyileştirme felsefesine uygun olmayan mevzuat yapısı,
dış denetim kaygıları, personel yapısı ve motivasyon eksiklikleri, EFQM’ in KİT’lerde uygulanmasını
zorlaştırmaktadır. Üstelik ülkemizde iç kontrol konusu bir yasal zorunluluk iken, EFQM ve toplam kalite yönetimi
bir yasal zorunluluk değildir.
Her şeyin ötesinde EFQM dünya genelinde kabul görmüş bir İç Kontrol Modeli değildir.
11
2.3. İç Kontrol, Toplam Kalite Yönetiminden Farklıdır
TKY prensiplerinin özünde yer alan bazı hususlar ile İç Kontrol Prensiplerinin özünde yer alan bazı unsurlar
benzerlik gösterse de, aralarında yöntem ve yaklaşım olarak ciddi farklar bulunmaktadır. Her iki kavramın da
amacı, bir kurumun amaç ve hedeflerine ulaşarak başarılı olmasının sağlanması olsa da bunu farklı metodolojiler
ve değişen odaklar çerçevesinde gerçekleştirirler.
EFQM özelinde TKY, iş sonuçları ile ilgilidir. Çalışanlar, müşteriler ve toplum ile ilgili hedefler belirlenmesi, bu
hedeflere ilişkin izleme mekanizmaları oluşturulması ve bu hedeflerin başarılması ile de genel iş hedeflerinin
başarılmış olacağı iddiası EFQM’in temelini oluşturur. Bu bağlamda girdiler olarak kabul edilen, liderlik, strateji,
işbirlikleri ve kaynaklar, çalışanlar, süreçler, ürün ve hizmetlerde “öğrenme, yaratıcılık ve yenileşme” eksenli
“sürekli” bir gelişim sağlanması, bu sayede de amaç ve hedeflere ulaşma derecesinin artırılması hedeflenir.
İç kontrol de tıpkı EFQM gibi başarı odaklı bir yönetim aracıdır. Ancak, EFQM’ den farkı, odağında “sürekli
gelişim” değil “risk” kavramının bulunmasıdır. İç kontrol; etkinlik ve verimlilik, mevzuata uygunluk ve raporlamalar
gibi, KİT’ lerin doğrudan ilgi alanına giren ve KİT’ler ile daha uyumlu olan hedef kategorilerinde başarı sağlayarak,
kurumun misyonunu gerçekleştirmesine katkı sağlar. Bir diğer ifade ile iç kontrol sistemi, KİT’lerin etkinlik ve
verimliliğine yönelik hedefler, yasa ve düzenlemelere uyumun sağlanması, KİT varlıklarının korunması ve KİT
raporlamalarının doğruluğu konularında, güvence sağlamak üzere, kurum kontrol ortamı çerçevesinde olan ve
operasyonlara entegre edilen bir sistemdir. Sistem bu güvenceyi, örgütün her seviyesindeki risklerin tespiti,
kontrol altına alınarak azaltılması ve ilgili iletişim kanalları çerçevesinde izlenmesi ile sağlar.
İç kontrol, yönetimin dört temel fonksiyonundan bir tanesi olan “kontrol/denetim” işlevinin kapsamına girmektedir.
Bu yönüyle de kalite yönetiminden ayrılır. Esasen iç kontrol, yönetimin dört temel fonksiyonundan (planlama,
organizasyon, yürütme ve kontrol) bir tanesi olarak, uygulanması zorunlu bir fonksiyondur. Bu açıdan
bakıldığında, iç kontrolün yönetim pratiği açısından zorunlu ve temel bir sistem olduğu, kalite yönetiminin ise,
zorunlu olmayıp, kurumu daha iyiye götürmek için tercih edilebilecek ek bir yönetim aracı olduğundan
bahsedilebilir. Bu bağlamda, kurumlar iki yönetim aracından ve sisteminden bir tanesini tercih etmek durumda
değildir. İç kontrol, zaten her kurum ya da şirkette asgari düzeyde olması gerekli temel bir yönetim aracıdır. Kalite
yönetimi ise tercihe bağlıdır.
Elbette bir kuruluşta her iki araç da uyumlu olarak ve eşgüdüm içinde uygulanabilir. İç kontrol zaten bir zorunluluk
olduğundan, bu noktada, EFQM dahil tüm kalite inisiyatiflerinin, iç kontrol sistemi ile uyumlu ve tercihen bu sistem
dahilinde bir yerde konumlandırılması önerilmektedir.
İç kontrol, kanunen zorunlu olmasının yanı sıra, EFQM’ in aksine, KİT’lerin yukarıda bahsedilen pek çok kısıtları
ile de uyumludur. İç kontrol de tıpkı EFQM gibi güçlü bir farkındalık gerektirmekle birlikte güçlü bir liderlik
gerektirmez. Mevzuata uyum, iç kontrolün önemli bir hedefi olduğundan, mevzuat ile çelişme ihtimali bulunmaz.
12
Mevzuatta sürekli güncelleme ya da değişiklik ihtiyacı olmaz. İç kontrol mevcut iş süreçlerindeki risklerin analizi ve
azaltılması odaklı olarak işlev gösterdiğinden, mevcut iş akışları üzerinde çok ciddi bir iyileştirme ya da yeniden
yapılandırma gerektirmez. Sadece kritik riskler söz konusu ise süreçler ya da mevzuat değişikliği talep edilebilir.
İç kontrol doğru işin, doğru şekilde, uygun bir zaman diliminde, mevzuata uygun olarak ve uygun maliyetle
gerçekleştirilmesini hedefler. Bu bağlamda, kurumun mevcut operasyonlarındaki risklerin (yasal, mali, itibar,
operasyonel) tespiti, azaltılması ve izlenmesi odaklı çalışır. Esasen, personel ve yöneticiler için bir külfet değil, bir
yardımcıdır. KİT’ lerde hesap verebilirlik ve sorumluluk anlayışları mevzuat ve dış denetim ölçüsünde şekillenmiş
olduğundan, iç kontrol iş risklerinin azaltılması ve hesap verebilirliğin sağlanmasında yönetici ve personele
yardımcı olur. Kısa vadede ve doğrudan işe yarar. Katkı sağlar. Yönetim ve personel motivasyonu ne derece
düşük olursa olsun, herkes kanun ve düzenlemeler karşısında korunmak, denetim mekanizmasının karşısına açık
vermeden çıkabilmek ister. İç kontrol bu korumayı sağlar. Bu sebeple, farkındalık kazanılması sonrası, kurumsal
kabulü çok yüksektir.
İç kontrol, stratejilerin oluşturulması değil, uygulanması ile ilgili olduğundan, strateji geliştirme ile ilgili kısıtlara da
takılmaz. İç kontrol stratejik planlardaki amaç ve hedeflerden sapmayı engellemek ve bu hedeflerin
gerçekleştirilmesi için operasyonlardaki riskleri azaltmaya yönelik işlev gösterdiğinden, her tür stratejik yaklaşım
ile uyumludur. İç kontrol, stratejik yönetimi destekler. Stratejik planlamaya doğru girdi sağlamak ve stratejik
planlamaların daha sağlıklı veriler ve risk bilgileri üzerine yapılmasını temin etmek de diğer bir katkı noktasıdır.
İç kontrolün EFQM gibi TKY modellerinden bir diğer farkı da, kurum genelinde ve topyekün bir adanmışlık
gerektirmemesidir. İç kontrol bir felsefe değildir. İç kontrol mevcut yapılan iş ve işlemlerden farklı bir kapsam
değildir. İç kontrol adanmışlık değil, farkındalık ve sistematik uygulama gerektirir. İç kontrol sistemi oluşturma,
yönetme ve izleme birer aşama olarak gerçekleştirilirken, en büyük çaba sistemin oluşturulması aşamasında
sergilenir. İç kontrol sisteminin oluşturulma, yönetim ve izlenmesinde kullanılan yazılım çözümlerinin yardımı ile
tüm bu aşamalar son derece iş-odaklı olarak gerçekleştirilir. Personele veya iç kontrol sistemi oluşturmak ile
görevli iş ekibine büyük yükler yüklemez.
İç kontrolün özünde “geleceğe dönük olarak sürekli iyileşme” değil, mevcut koşullarda en iyisini yapma yani
“mevcut duruma yönelik risk yönetimi” vardır. İç kontrol, bir kurumda iş süreçlerinin, mevzuatta belirtilen görev ve
sorumluluklar çerçevesinde, ilgili süreç sahipleri ve sorumluları tarafından, kurumsal amaç ve hedefleri
başarmaya imkan verecek şekilde iyi yönetilmesi ve yürütülmesi amacı ile sorumluluk sahibi olunan süreç
bazında risklerin tespiti ve uygun kontrol faaliyetleri ile azaltılması işidir. Burada, işi yapan, riskini tespit etmek ve
azaltmak ile yükümlüdür.
İç kontrolde süreç bakış açısı EFQM modeline benzemekle birlikte, organizasyon yapısı süreçler bazında
tanımlanmaz. Görev ve sorumluluklar ile şekillenen organizasyon yapısı fonksiyon bazlı belirlenmiş olmakla
birlikte, gerçek iş akışlarının süreç bazlı tanımlanması ve süreç bazlı bakış açısının kazandırılması hedeflenir. İç
kontrolde görev ve sorumlulukları süreç bazlı ele almanın sebebi, süreç yönetiminin gerçek iş akışlarını daha
sağlıklı ortaya koyması ve bu sayede risk analizlerinin daha detaylı ve iş-odaklı olarak yapılabilmesidir. İş
birimleri, mevzuattan gelen görev ve sorumluluklarını süreçler bazında iş ve işlemler ile eşleştirmek suretiyle,
13
işleri algılama hususunda yatay bir bakış açısı kazanırlar. Silo mantığından uzaklaşılır. Her Birim bir sürecin hangi
aşamasında, hangi görevleri, kimlerle, ne şekilde gerçekleştireceğini açıkça görmüş olur. Elbette bu bağlamda, bir
süreçte birden fazla sorumlu birim var ise, diğer birimlerin de sürecin hangi noktasında, ne işler yaptıkları
netleşmiş olur. Kurumdaki tüm süreçlerin, başından sonuna hangi faaliyetlerden oluştuğu ve hangi aşamalardan
geçtiğinin tüm kurum tarafından bilinmesi ve yetki/sorumlulukların daha iyi anlaşılmasını sağlar. İç kontrolde
“süreçlerle yönetim” değil, “iyi süreç yönetimi” hedeflenir. Bu da KİT’ ler için daha gerçekçi bir yaklaşımdır.
2.4. KİT’ler Açısından En Uygun İç Kontrol Modeli Nedir?
EFQM’ in dünya genelinde ve Türkiye’ de bir iç kontrol modeli olarak kabul edilmediğini belirtmiştik. Türkiye’ de kamu idarelerinde iç kontrol sistemleri oluşturulması, AB Müktesebatı ile uyum çerçevesinde yayımlanan 5018 sayılı Kanun dahilinde, zorunludur. Ülkemiz Kamu İç Kontrol Standartları, AB uygulamaları doğrultusunda, COSO/INTOSAI Modelini baz almıştır. Bu modelin, dünya genelinde büyük bir mutabakat ile yaygın olarak kabul görmesinin en önemli nedenleri, kurumlar tarafından çerçevenin rahatlıkla anlaşılması, yıllardır uygulanması sonucunda sağladığı faydaların görülmesi, uygulamaya yönelik araç ve tekniklerin fazlalığı, bir kurumun mali ve mali olmayan tüm unsurlarını kapsıyor olması ve işlere entegre bir model olarak büyük bir adanmışlık, yatırım veya kaynak gerektirmemesidir. Ayrıca COSO Modeli, iç denetim-iç kontrol entegrasyonunun sağlanması açısından da en uygun modeldir. COSO’nun “İzleme Bileşeni” iç denetimi içerir. COSO’ ya göre iç denetim, iç kontrolün bir unsurudur. İç denetimsiz bir iç kontrol sistemi olamaz. KİT’lerde, bahse konu Kararname çerçevesinde, iç denetim faaliyetleri oluşturulması da ön görüldüğünden, COSO modelinin ne kadar uygun bir model olduğu görülmektedir.
İç denetim faaliyetlerinin etkin ve verimli olması için mutlaka bir iç kontrol modeli çerçevesinde yapılandırılmış bir iç kontrol sisteminin mevcudiyeti gerekmektedir. EFQM ve benzeri modellerin, iç denetim anlayışlı muhakkak ki COSO, CoCo veya Turnbull’ da yer alan iç denetim anlayışından farklıdır. Özünde, kurumsal yönetimi ve bu bağlamda hesap verebilirlik, adillik, sorumluluk ve şeffaflık ilkelerini desteklemek olan iç kontrolün felsefesi, EFQM’ in felsefesinden oldukça farklı olduğundan, her iki yaklaşımın da iç denetime bakışları farklıdır. KİT’lerde iç denetimin sağlıklı işlev göstermesi, COSO modelinin benimsenmesi ve uygulanmasına bağlıdır. COSO’ ya bir alternatif olarak, EFQM modellerinin uygulanmaya çalışılması halinde KİT’leri bekleyen diğer bir risk de iç denetimin beklenen etkinliği sağlamayacak olmasıdır. COSO modeli, 1992’den günümüze tüm dünyada kamu, özel ve kar amacı gütmeyen kurumların risklerini azaltmaları ve iş hedeflerine ulaşmalarını sağlamaya yönelik olarak önemli katkılar sağlamaktadır. COSO modeli,
14
ülkemizde Kamu İç Kontrol Standartları Tebliği ve İç Kontrol Rehberi ile kamu idarelerinin kullanımına sunulmuştur. Ülkemizde, 2007 senesinden bu yana kamu idareleri Kamu İç Kontrol Standartları Tebliği’ ne uygun olarak iç kontrol sistemleri oluşturmaktadırlar. Özel sektörde halka açık şirketler ile bankaların da ekseriyetle COSO modelini baz alan iç kontrol ve iç denetim mekanizmaları oluşturdukları görülmektedir. Ülkemizde bu düzenlemeler yaygın bir şekilde kabul görmüş ve KİT’lerin yapısına COSO modeli her anlamda daha uygun iken, farklı bir modelin önerilmesi doğru ve sürdürülebilir değildir.
2.5. KİT’ler Ne Yapmalı?
KİT’lerde iç kontrol konusunda yaşanmakta olan bu kafa karışıklığı, Maliye Bakanlığı, Hazine Müsteşarlığı,
Akademisyenler, Mesleki Dernekler ve KİT temsilcileri arasında gerçekleştirilecek bir çalıştay dahilinde karara
bağlanmalı ve hızlıca giderilmelidir. İç kontrol ülkemizde kurumlar üstü ve stratejik bir konudur. İç kontrol konusu
tüm kamu sektöründe ki buna KİT’ler de dahildir, yeknesak ilke ve prensipler ile ele alınmalıdır. Ülkemizde iç
kontrol konusunda bu denli ciddi bir yönelim ve çalışma altyapısı varken, başka bir modelin önerilmesi ciddiyetle
tartışılmalıdır. EFQM Modelini öneren Hazine Müsteşarlığı dahi kendi iç kontrol çalışmalarını Kamu İç Kontrol
Standartları Tebliği çerçevesinde yürütürken, KİT’lere, pratikte büyük uygulama güçlükleri içeren ve fayda
sağlaması çeşitli sebepler ile mümkün gözükmeyen, esasen özünde bir iç kontrol modeli dahi olmayan EFQM
modelinin önerilmesi konusu etraflıca değerlendirilmelidir.
KİT üst yönetimleri ile iç kontrol sistemlerinin oluşturulması ve koordinasyonu ile görevli birim yöneticilerine, konu
ile ilgili yasal (ikincil ve üçüncül) düzenlemeleri beklemelerini öneriyorum. EFQM büyük bir adanmış gerektiren,
önemli eğitim ve uygulama maliyetleri olan, teşkilatları yoracak ve KİT’ lerin özel koşulları nedeni ile başarı
olasılığı düşük bir modeldir. Üstelik mükemmel bir Toplam Kalite Yönetimi Modeli olsa da, ne dünya genelinde
ne de Türkiye’ de kabul gören bir iç kontrol modeli değildir. Toplam Kalite Yönetimi çerçevesinde uygulanması
son derece makul ve mantıklıdır, ancak yine KİT’ lerin, makalede belirtilen özel koşulları, EFQM Modelinin KİT’
lerde Toplam Kalite Yönetimi çerçevesinde dahi uygulanmasını zorlaştırmaktadır.
KİT’lerin iç kontrol çalışmalarını, EFQM değil, COSO İç Kontrol Modeli (Kamu İç Kontrol Standartları Tebliği ve İç
Kontrol Rehberi) çerçevesinde oluşturmaya yönelik bir strateji izlemelerini öneriyorum. Zira ülkede kabul edilmiş
ana strateji bu iken, farklı bir modelin uygulanması doğru değildir. Hazine Müsteşarlığı’nın ilgili Genel Müdürlüğü’
nün bu konuda neden EFQM Modelini önerdiği, EFQM ile İç Kontrol ilişkisini açıklayan, bu kararın dayanaklarını
net bir şekilde ortaya koyacak bir yazıyı en yakın zamanda kaleme alması ve kamuoyu ile paylaşması
gerekmektedir. Ayrıca konuya ilişkin ikincil ve üçüncül düzey mevzuatın oluşturulması sırasında yukarıda önerilen
geniş katılımlı bir çalıştay düzenlenmesi ve iç kontrol konusunun ülke politikası olarak ve kurumlar üstü
değerlendirilmesi gerektiği düşünülmektedir.
15
Konu ülkemiz “kalite yönetimi ekosisteminin” iyi niyetle desteklenmesi olarak planlanmış olsa bile, olaya
ülke politikası olarak bakmak, iç kontrol konusunda daha önce ortaya koyulmuş olan siyasi ve bürokratik
iradeyi yok saymamak ve yeknesaklıktan uzaklaşmamak gerekmektedir.
KİT’lerde iç kontrol sistemleri oluşturmada EFQM modelinin uygulanması halinde;
• KİT’lerin kendi koşulları (mevzuat, yönetim yapısı, siyasi etkiler, karar dinamiği, personel motivasyonu,
yetkinlikler, vb.) çerçevesinde gereksiz bir iş yükü ve gereksiz maliyetler ile karşı karşıya kalmaları,
• Modelin bir iç kontrol modeli olmaması nedeni ile iç kontrolün en önemli bileşenleri olan risk
değerlendirme, kontrol faaliyetleri ve izleme unsurlarının ihmal edilmesi,
• KİT’lerin daha sonra COSO bazlı iç kontrol çalışmaları yürütmek zorunda kalmaları nedeni ile
mükerrerlikler ortaya çıkması ve teşkilatın yorulması,
• EFQM modelinin, iç denetim-iç kontrol entegrasyonunu sağlamıyor olması nedeni ile yine önemli bir
maliyet unsuru olan ve KİT’lere büyük katkı sağlayacağını düşündüğümüz iç denetimden verim
alınamaması,
• Ülkemizde iç kontrol bağlamında iki başlılığın ortaya çıkması ve bunun da kafa karışıklığını artırması,
riskleri söz konusu olacaktır.
Önerimiz, tüm KİT’lerin, Hazine Müsteşarlığı tarafından gerekli yasal alt düzenlemeler oluşturulana dek, COSO
modelini baz alan çalışmalar yürütmeleri, yürütenlerin de bu çalışmalara devam etmeleridir. Doğru istikamette
gidilmesi ve ileride oluşabilecek risklerin bertaraf edilmesi açısından KİT Üst Yönetimlerinin, konuya geniş
perspektiften bakmaları gerekmektedir.
Hazine Müsteşarlığı, Maliye Bakanlığı, Akademisyenler, Meslek örgütleri ve KİT temsilcilerinin katılacağı
bir “KİT’lerde İç Kontrol Çalıştayı” nın vakit geçirilmeden planlanması ve konunun tüm boyutları ile
değerlendirilmesi önerilmektedir.
16
3. İç Denetim, İç Kontrol ve Risk Yönetiminde Kullanılan Yazılımlar
Türkiye son 10 yılda büyük bir dönüşüm yaşıyor. Hem kamu idareleri, hem de özel sektörde şirketleri geleneksel
yönetimden, hesap verebilir, şeffaf, adil ve sorumlu bir yönetimi simgeleyen “kurumsal yönetim” ya da “yönetişim”
anlayışına geçiyorlar. Bu dönüşüm sırasında, şirket ve kurumların elinde, bu dönüşüm ve yeni yönetişim
anlayışını destekleyebilecek bazı araçlar var. İç denetim, iç kontrol ve risk yönetimi bunların başında geliyor.
Yeni Türk Ticaret Kanunu gereği, halka açık şirketlerde, “risklerin erken teşhisi ve önlenmesi” başlığı altında risk
yönetimini ve iç denetim zorunlu hale geldi. 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu, Türkiye’ deki tüm
kamu idarelerinde, iç kontrol ve iç denetimi zorunlu kıldı. Bankacılık Kanunu ve Bankaların İç Sistemleri Hakkında
Yönetmelik ise, bankalarda iç kontrol, iç denetim ve risk yönetimini şart koşuyor. Buna ek olarak, bu kanun ve
düzenlemelere tabi olmayan pek çok büyük şirket de, bu üç araçtan fayda sağladığı için risk yönetimi, iç kontrol
ve iç denetim faaliyetlerinden de faydalanmak istiyor.
Şirket hissedarları, yönetim kurulları ve icra kurulları bu kavramların önemini her geçen gün daha fazla anlıyor ve
bu hizmetleri talep ediyorlar. Bu noktada, talep sevindirici olsa da karşımıza iki sorun çıkıyor.
1) Bu sistemleri nasıl oluşturacağız?
2) Oluşturduktan sonra nasıl yöneteceğiz?
Her iki sorunun cevabı da bu işleri iyi bilen profesyonelleri istihdam etmekten ya da dışarıdan bu sistemleri
oluşturmak ve yönetmeye yönelik profesyonel danışmanlık hizmeti almaktan geçiyor.
Hangi yol seçilirse seçilsin, kilit nokta, iç kontrol, risk yönetimi ve iç denetim sistemleri oluşturup, bu sistemlerden
fayda sağlamayı nasıl kolaylaştırabileceğimiz olmaktadır.
Kolaylaştırmak diyorum zira, bu sistemleri oluşturmak büyük bir farkındalık, adanmışlık ve çalışma gerektiriyor. Bu
sistemlere sahip olmak ve bunlardan fayda sağlamaya karar veren bir şirketin, bu işi ne şekilde yapacağından
bağımsız (profesyonel istihdam etmek ya da dışarıdan danışmanlık hizmeti almak şeklinde) olarak, nasıl ve ne
kadar sürede yapacağı ve başarıyı nasıl garanti edeceği önem taşıyor.
Şirket yönetim kurulları ve tepe yöneticiler sonuç odaklı olduklarından, bu sistemlere yapacakları yatırımlardan
hızlı geri dönüşler bekliyorlar. Haksız da sayılmazlar. Öte yandan, şirket ve kamu idarelerinin performanslarına
%100 katkı sağlayacağına emin olduğum iç kontrol, risk yönetimi ve iç denetim sistem ve faaliyetlerini kısa sürede
oluşturmak ve işlevsel kılmak da büyük bir sorun. Diğer bir sorun da kurulmuş, işleyen sistemlerin performansını
artırmak.
İşte bu noktada karşımıza bize yardımcı olacak bazı yazılım çözümleri çıkıyor. Kurumsal Risk Yönetimi
Yazılımları, İç Denetim Yazılımları, İç Kontrol Yazılımları ve tüm bunları tek bir pakette almamızı sağlayan GRC
17
yazılımları gibi. GRC, Governance, Risk ve Compliance kavramlarının baş harflerinden oluşan bir kısaltma. GRC
yazılımları ile şirketlerin, kurumsal yönetim süreçlerini iyileştirmek ve kurum performansını artırmak mümkün
oluyor. İç denetim, risk yönetimi, iç kontrol ve uyum faaliyetlerinin yönetimi için ayrı ayrı yazılım veya programlar
almak yerine, tek bir GRC çözümü ile tüm bu ihtiyaçları “entegre” olarak karşılayabiliyorsunuz. Bu sistemleri ayrı
ayrı almak ve konuşturmak, birbirleri ile entegre etmek çok zor. Bu nedenle, entegrasyon özelliği olan GRC
çözümleri şirket ve kamu kurumlarına büyük fayda sağlıyor. Ayrıca, bu yazılımların iç kontrol, iç denetim, risk
yönetimi ve uyum modülleri birbirlerinden bağımsız da kullanılabiliyor. Örneğin, bir iç denetim faaliyetiniz var
ancak risk yönetimi sistemi yok. Sadece iç denetim modülünü kullanıp, risk yönetimi modülünü zamanı gelince,
kullanıma açıp, iç denetim ile entegre hale getirebiliyorsunuz.
Dünya genelinde tanınmış bir kaç adet GRC yazılım çözümü var. Ülkemizde bazı banka, holding, kamu kurumları
ve telco şirketleri bunları kullanıyor. Bunlara ek olarak ülkemizde geliştirilmiş bir GRC çözümü de mevcut. GRC
yazılımlarının talep görmesi, iç denetim, risk yönetimi ve iç kontrol sistemlerine olan talep düzeyi ile de alakalı
olduğundan ve GRC yazılımı geliştirmek, üst düzey bir yetkinlik gerektirdiğinden kurumsal büyük yazılım firmaları
bu yazılımları geliştirmeye ilgi duymuyorlar. İlgi duysalar bile, geliştirilmelerinde büyük bir teknik bilgi ve yetkinlik
gereksinimi söz konusudur. Bu yetkinlikleri elde etmeleri çok zor olmakla birliktebu yazılımların arzı sınırlı ve
fiyatları da oldukça yüksektir.
GRC yazılımları genellikle, Süreç Yönetimi, Kalite Yönetimi ve İç Denetim Yönetimi yazılımları ile karıştırılıyor.
Oysa bunlardan çok daha farklı özelliklere sahipler. Bazı GRC yazılımları, bünyelerinde iç kontrol, risk yönetimi ve
iç denetim modüllerine ek olarak, yine diğer modüller ile entegre süreç yönetimi, iş sağlığı ve güvenliği (İSG) ve
kalite yönetimi modülleri de barındırıyor. Örneğin, ülkemizde geliştirilmiş olan KIOS GRC yazılım çözümü, iç
kontrol ile ISO 9001 süreçlerini tam olarak entegre etmiş durumda. Dolayısı ile, GRC çözümüne ek olarak bir
kalite yönetim çözümü olarak da işlev gösteriyor. Esasen ülkemizde kalite sistemlerine yönelik ISO 9001, TKY,
Six Sigma gibi yaklaşımlar, “iç kontrol, risk yönetimi ve iç denetim” sistemlerinden önce hayata geçirildiğinden, bu
sistemler ile uyumlu GRC çözümleri gerçekten de altın değerinde oluyor.
İç kontrol, risk yönetimi ve iç denetim sistemlerini şirket faaliyetleri ve diğer yönetsel sistemler ile entegre olarak
kurmak yönetmek, bir GRC çözümü ile mümkündür. Bu noktada doğru GRC ürününün seçimi büyük önem
taşıyor. Ülkemizde faaliyet gösteren kamu idareleri, özel sektör şirketleri ve finansal kuruluşlar için doğru GRC
çözümünde dikkat etmeleri gereken hususları aşağıda maddeler halinde özetlemeye çalışacağım:
1) Yazılımın iç denetim, iç kontrol ve risk yönetimi modüllerinin bulunması ve entegre olması
2) Yazılımın Türkçe dil desteği ile verilmesi
3) Yazılımın, eğitim ve danışmanlığının uluslararası mesleki sertifikalara sahip (CIA, CCSA, CRMA, CGAP)
tercihen Türk iş hayatı ve kültürünü tanıyan danışmanlar tarafından verilebilmesi
4) Yazılımın şirketin tüm sistem ve süreçleri ile entegre olabilmesi
5) Yazılımın, teknik desteğinin Türkiye’ den verilebilmesi. Tercihen, teknik destek ekibinin müşteriye yakın
bir şehir ve lokasyonda olması
6) Yazılımın genel kullanım prensipleri itibariyle, kolay bir arayüze sahip olması
18
7) Yazılımın güçlü raporlama özellikleri bulunması ve yöneticiler için bir karar destek sistemi olarak
kullanılabilmesi
8) Yazılımın maliyetinin, sağlayacağı faydadan yüksek olmaması
9) Yazılımın sürekli geliştirilmesine yönelik, tedarikçi şirketin bir ARGE sistemi ve stratejik planı bulunması
10) Sadece yazılıma ilişkin teknik konularda değil, aynı zamanda şirketin iç denetim, iç kontrol ve risk
yönetimi faaliyetlerine ilişkin de destek ve gözetim hizmeti verilmesi, ilgili yöneticilere rehberlik yapılması
Bu unsurları sağlayan, İç kontrol, İç Denetim ve Risk Yönetimi otomasyon çözümleri yani GRC yazılımları,
şirketlere büyük fayda sağlayacaktır.
4. İç Kontrol Nedir? Ne Değildir? İç Kontrol Sistemi Nasıl Oluşturulur?
Son birkaç aydır irtibat kurduğum, eğitim verdiğim veya danışmanlık hizmetleri sağladığım pek çok özel sektör
işletmesi ile kamu idaresinde iç kontrole ilişkin bir husus dikkatimi çekiyor. Bu şirket ve kurumların yöneticilerinde
iç kontrole ilişkin farklı algılamalar olduğunu görüyorum. İç kontrolün ne olduğu, ne işe yaradığı ve iç kontrol
sistemlerinin nasıl kurulabileceği konusunda oldukça farklı düşüncelere sahip olduklarını tecrübe ediyorum.
Düşünce ve algılamalardaki bu farklılık, özellikle de iç kontrol sistemlerinin kurulmasının zorunlu olduğu kamu
idareleri için bir risk teşkil ediyor. Gerek özel gerekse de kamu sektöründe iç kontrol maalesef kalite yönetimi,
süreç yönetimi, verimlilik çalışmaları veya kontrolörler eliyle yürütülen denetimler olarak algılanıyor. Oysaki iç
kontrol özü itibariyle bu kavramlardan oldukça farklı bir kavramdır. Elbette bu kavramlar ile kesiştiği alanlar
olacaktır, ancak iç kontrol farklı bir konudur. Bu yazıda, iç kontrolün neden bu şekillerde algılandığı, esasen ne
olduğu ve bu konulardan neden farklı değerlendirilmesi gerektiği konularına değinmek istiyorum.
Öncelikle şunu ifade etmek gerekir ki, “kontrol” tercihe bağlı, bir yönetim yaklaşımı veya türü değildir. Kontrol bir
“yönetim fonksiyondur” ve mali ve operasyonel faaliyetler ile iç içedir. Yani bir şirketi nasıl yöneteceğiniz
konusunda çeşitli alternatif yaklaşımlar söz konusu olabilir (örneğin süreçlerle yönetim, toplam kalite yönetimi,
durumsal yönetim, bürokratik yönetim gibi) ancak her halükarda etkin bir iç kontrol sistemi kurmanız
gerekmektedir. Yani yönetim felsefeniz ve yaklaşımınız değişse de, tüm mali ve mali olmayan operasyonlarınızda
etkin bir iç kontrol sistemi oluşturmuş olmanız gerekmektedir. Planlama, Örgütleme, Yöneltme, Koordinasyon ve
Kontrol(Denetim) bir yöneticinin kaçınamayacağı temel görevlerdir. Yani bir şirketi hangi yaklaşımla yönetirsek
yönetelim, nasıl bir liderlik yaparsak yapalım, hangi bütçe ve kaynaklara sahip olursak olalım, mutlaka işlerimizde
etkin bir kontrol sağlamamız gerekir. Şirketinizde bir kalite yönetimi yaklaşımı benimsemiyor olabilirsiniz, ya da
şirketinizi süreçler ile değil fonksiyonlarla yönetiyor da olabilirsiniz ama ne olursa olsun şirketinizde iç kontrol
sistemi kurmanız gerekmektedir.
Bilindiği üzere, şirketlerimizde/kurumlarımızda, özellikle de dünyada yaşanmakta olan kurumsal yönetim dalgası
sonrası iç kontrol sistemlerine yönelik çalışmalar yapılmaya başlandı. Bankacılık sektöründe, SPK’ya tabi aracı
kurumlarda, hisseleri halka arz edilmiş şirketlerde ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunu ile tüm
kamu idarelerinde iç kontrol sistemleri kurulması ve bu sistemlerin işleyişi ile ilgili güvence sahibi olmak zorunlu
19
hale geldi. Konuyla ilgili olarak özel sektör işletmeleri, genel olarak dış uzman veya danışmanlardan destek alarak
bu sistemlerin kurulmasına yönelik adımlar attı. Kamu idareleri ise konuyla ilgili olarak önceleri koordinasyon ile
görevli Maliye Bakanlığı’ndan rehberlik talep ettilerse de, yeterli destek sağlayamayınca ve iç kontrol sistemleri
kurmaları için Maliye Bakanlığı tarafından belirlenmiş sürenin sonuna yaklaştıklarından, bazı adımlar atmaya
başladılar. İdarelerin bir kısmı, konuyu kendi uzmanları ile, bir kısmı dış eğitim ile, bir kısmı da danışmanlık alarak
halletmeye çalıştı ve halen çalışılıyor. Ancak özel sektör işletmeleri ve kamu idarelerinin bu noktada ayrıştıklarını
ifade etmek gerekiyor. Özel sektör işletmeleri iç kontrol sistemi oluşturmaya yönelik olarak danışman seçimlerini
daha doğru yaparken, kamu idarelerimizin danışman seçiminde büyük hatalar yaptıklarını görüyoruz. Bunun
sebepleri genellikle idarelerimizin iç kontrol kavramını tanımıyor olmaları ve bu konuda yeterli rehberlik
alamamaları olarak görülüyor. Ülkemizde iç kontrol konusunda yeterli akademik ve mesleki kaynak bulunmuyor
olması, bulunanların ise İngilizce olması konuya ilişkin yeterli düzeyde bilgi sahibi olunmasına engel teşkil ediyor.
Buna ek olarak, kamuda iç kontrol faaliyetlerini koordine etmekle görevli Maliye Bakanlığı’nın da süreçte aktif rol
alamamış olması nedeniyle İdarelerimiz, farklı danışmanlık kuruluşlarının, iç kontrole ilişkin farklı yaklaşımlarının
etkisi altında kaldılar. Son 6 aydır neredeyse 100’e yakın idare ile temaslarımız oldu. Bu temas ve incelemeler
neticesinde, konuya ilişkin olarak tüm İdarelerimiz için ortak bazı sorunlar tespit edebildik. Bunlar aşağıda
özetlenmiştir:
• Farklı eğitmen ve danışmanlar, idarelerimizin iç kontrole ilişkin algılamalarında karışıklık yaratmıştır. Her
biri olaya kendi perspektifinden bakan, ancak esas uzmanlık alanları iç kontrol sistemleri olmayan “kalite
yönetim danışmanları”, “strateji danışmanları” ve “süreç yönetimi konusunda uzman danışmanlar” ve bazı
“mesleki dernekler” konuyla ilgili yetkin olduklarını ileri sürerek idarelerimizi maalesef yanlış
yönlendirmişlerdir. İç kontrol sistemlerini kalite yönetim sistemlerinin bir parçası olduğuna inandırmak
suretiyle, İdarelerimizde kalite yönetim sistemleri kurmaya yönelik önerilerde ve girişimlerde
bulunmuşlardır. Benzer yönleri olmakla birlikte, birbirlerinden pek çok konuda farklılık gösteren bu
yaklaşımları, bir tutarak, İdarelerimizi adeta kağıt bürokrasisine boğmuşlar ve iç kontrolün temel odağı
olan “risk” kavramını tamamen göz ardı etmişlerdir.
• Konuyla ilgili gerçekten önemli düzeyde bilgi ve yetkinlik sahibi olan ülkemizdeki uluslararası danışmanlık
firmaları; kalite ve yönetim danışmanlığı firmalarının lobi ve ikna faaliyetleri sonrası süreçte kasıtlı olarak
dışlanmış, “pahalı” ve “kamuyu tanımıyorlar” yaftaları ile etiketlenmek suretiyle sürecin dışında
bırakılmışlardır. Oysaki, bahse konu bu firmalar gerek yurt içi gerekse de yurt dışında iç kontrol sistemleri
kurmak konusunda büyük deneyim sahibidirler. Öte yandan kalite yönetim firmalarının iç kontrol konusu
ile tanışıklığı birkaç aylık bir süreden öteye gitmemektedir. Elbette ki idarelerimizin bu gerçeği bilmesi
mümkün değildir ve bu anlamda mağdur edildiklerini bilememektedirler.
• İç kontrol sistemleri oluşturmanın sadece süreçlerin tespiti, analizi, iş akışlarının çıkartılması ve görev
tanımlarının oluşturulması gibi algılanıyor olması büyük bir hatadır. Bahse konu danışmanların iç kontrolü
bu şekilde anlatmaları, İdarelerimizi ikna etmeleri ve bazı kurumlarda bu tür çalışmalar yapmış olmaları
diğer tüm İdarelerimizde de bunların doğru olduğu yönünde kanaat oluşmasına neden olmuştur. Oysa ki
bunlar, iç kontrol açısından önemli konular olmakla birlikte tek başlarına iç kontrol sistemini oluşturmazlar.
Buna ek olarak, İdare genelinde yürütülmesi gereken ve bunlardan çok daha önemli faaliyetler vardır.
“Sözde” iç kontrol danışmanları, iç kontrolün gerçekte ne olduğunu kendileri de bilmediklerinden, malesef
İdareleri bu çalışmaların yeterli olduğu yönünde ikna etmektedirler. Buzdağının görünen yüzü kadar, bir
20
de görünmeyen yüzü olduğunu bilmemekte ve İdarelerimizin bu çalışmalar ile yetinmelerini
sağlamaktadırlar. Oysa ki, sadece bu çalışmaları tamamlamak, iç kontrolün standartlarından sadece 1
tanesini yerine getirmek demektir. Kalan 4 standarda ilişkin hiçbir çalışma yürütülmemekte, hatta iç
kontrol sistemlerinin kalbi olan “risk değerlendirmesi” ve “kontrol faaliyetleri” standartları ekseriyetle açıkta
bırakılmaktadır. İç kontrol ve risk yönetimi kavramları ile uzaktan yakından alakası olmayan, bu alanda
açık görerek, İdarelerimizin konuya ilişkin bilgi eksikliklerini istismar eden bu danışmanların, yetkinlikleri
mutlaka sorgulanmalıdır. İşte bu “sözde” iç kontrol danışmanlarının yetkinliklerini sorgulamanız için
aşağıda bazı sorular veriyoruz. Bu soruları size sunum yapmaya gelen, iç kontrol sisteminizi kurmaya
yönelik size danışmanlık yapmaya talip olan ve konu ile ilgili uzman olduklarını iddia eden danışmanlara
sorulacak bazı sorular şunlardır:
1) COSO İç Kontrol Modeli ile ilgili daha önce bir eğitim aldınız mı? Aldınız ise kimden aldınız?
2) Kamu İdarelerini ve işleyişini tanıyor musunuz? Daha önce kamu idarelerinde ne tür danışmanlık
faaliyetleri yürüttünüz?
3) Kurumsal risklerimizi nasıl tespit edip ölçeceksiniz? Hangi uluslararası kabul görmüş metodoloji
ve yöntemleri kullanacaksınız?
4) İç kontrol ile ilgili danışmanlarınızın kişisel tecrübeleri nelerdir? Daha önce özel veya kamu
sektöründen hangi kurumlara iç kontrol eğitimi/danışmanlığı sunmuşlardır?
5) Kamu İç Kontrol Standartlarına ne kadar hakimsiniz? COSO modelini daha önce hangi kurum
veya kuruluşta uyguladınız?
• Kamu İdarelerinde iç kontrol sistemleri oluşturma ile ilgili olarak bu tür yetkin olmayan firmaları tercih
eden Yöneticiler (Strateji Geliştirme Başkanlıkları başta olmak üzere) büyük bir risk almaktadırlar.
Oldukça ciddi bedellerle hizmet alımı yapılmakta olup, özellikle dış denetim olarak kabul edilen Sayıştay
denetimleri ile iç denetimler sonucu kamu kaynaklarının kötüye kullanıldığı yönünde bir kanaat oluşur ise,
bu durum değerli yöneticilerimiz açısından büyük bir sorun teşkil edecektir. Yeterli düzeyde bilgi sahibi olmadıkları, konuya ilişkin rehberlik alamadıkları ve doğru kişilerden doğru bilgileri alamadıkları
için aslında hiçbir kabahati bulunmayan bu değerli yöneticilerimiz, bazı kötü niyetli veya yetersiz
danışmanlar ile çalıştıkları için, kısa vadede olmasa bile, uzun vadede mutlaka sorgulanmak durumunda
kalacaklardır. Bu bağlamda, kamu idarelerinde iç kontrol sistemleri kurmakla görevli yöneticilerimizin bu
konuda kendilerini bilgilendirmeleri ve danışman yetkinliklerini sorgulamaları şarttır.
Gerek Kamu, gerekse de özel sektör işletmelerine en büyük tavsiyemiz; 1992 tarihli COSO raporunu
okumalarıdır. Orijinal adı “Internal Control- Integrated Framework” olan bu doküman,”http://www.coso.org/IC-
IntegratedFramework-summary.htm” adresinden sipariş edilebilmektedir. Raporun Türkçesi bulunmamakta olup,
İngilizcesinin temin edilerek Türkçe’ye çevirtilmesi ile kafa karışıklıkları ve algılama farklılıkları ortadan kalkacaktır.
Keşke Maliye Bakanlığımız bu çalışmayı 3 sene önce yaparak, bu değerli eseri İdarelerimize kazandırsa idi, bu
sayede iç kontrolün ne olduğu ve ne olmadığı rahatlıkla anlaşılabilecekti. Bu eserin önemi şudur ki, Kamu İç
Kontrol Standartları Tebliği, tamamen bu esere dayanmaktadır. Yani, Standartların detaylı açıklamaları ve iç
kontrol sistemlerinin ne olduğu, nasıl oluşturulması gerektiği ve tüm püf noktaları bu kaynakta yer almaktadır. Bu
21
kaynağın elde edilmesi, Türkçeye çevrilmesi veya en kötü ihtimalle, ilgili İdarelerde İngilizcesi kuvvetli uzmanlarca
okunup özetlenmesinin büyük önem taşıdığını düşünüyorum.
Kamu İdarelerinde iç kontrole ilişkin oldukça vakit kaybı olduğu, hatalı eğitim ve danışmanlıklar ile kaynakların
kaybedildiği doğrudur. Ancak zararın neresinden dönülür ise kardır. İç kontrolün ne olduğunun daha iyi
anlaşılması ile, talep edilen rehberlik ve yardım da o denli bilinçli olacaktır. Nerede eksik olduğunu bilen, alacağı
yardımın ne kapsamda olması gerektiğinin ayırdında olan ve çalışacağı danışmanı doğru doneler ile sorgulayan
yöneticilerimizin artmasını temenni ediyoruz.
Buraya kadar iç kontrolün ne olmadığı üzerinde durduk. İç kontrolün süreç ve kalite yönetiminden amaç ve
kapsam olarak farklı olduğunu, ayrı bir uzmanlık gerektirdiğini ve hatalı oluşturulması halinde önemli kaynak
israfları yaşanacağını vurguladık. Peki, iç kontrol nedir İç kontrol sistemlerinin özü nedir İç kontrol sistemleri
oluşturmada önemli aşamalar nedir, bunlara bakalım.
İç kontrol, nihai sorumluluğu devredilmez bir yönetsel fonksiyondur. Nihai sorumluluk o kurumun üst düzey
yöneticisindedir. İyi bir kurumsal yönetim için, yani hesap verebilir, sorumlu, şeffaf ve adil yönetim için olmazsa
olmaz bir unsurdur. Yani iç kontrol sistemleri, 5018 sayılı Kanun gereği değil, tüm dünyayı etkisi altına alan ve
ülkemizde de gerek kamu gerekse de özel sektörde kabul gören kurumsal yönetim ilkeleri gereği tesis edilmesi
gereken bir kurumsal mekanizmadır. 5018 sayılı Kanun iç kontrol sistemlerini gündeme getiren, bir araç olmuştur.
Bu anlamda, iç kontrol sistemleri oluşturmak bir amaç değil, iyi kurumsal yönetime giden yolda bir araçtır.
İç kontrol; kontrol ortamı, risk değerlendirmesi, kontrol faaliyetleri, bilgi & iletişim ve izleme olarak tanımlanan 5
ana unsur veya kamudaki karşılığı ile 5 standarttan oluşur. Bu unsur/standartları doğru bir şekilde hayat geçiren,
etkin şekilde uygulayan, gereğini yerine getiren şirket/kurumların;
− raporlama faaliyetlerinin doğru ve tam olacağı,
− operasyonlarının etkin ve verimli yürütüleceği,
− varlıklarının korunacağı,
− faaliyetlerinde mevzuat ve iç düzenlemelere uygun hareket edileceği varsayılabilir.
Yukarıdaki bu sonuçlar, iç kontrolün amaçları olup, etkin iç kontrol sistemleri bu amaçları yerine getirirken, aslında
şirket/kurumun stratejik amaç ve hedeflerinin de yerine getirilmesini sağlayacaktır. Burada yaklaşım şu şekildedir;
kurum olarak amaç ve hedeflerim var, bunları tehdit eden riskler var (her kurum için farklı tür ve ölçeklerde riskler
söz konusudur), bu risklere yönelik olarak bir iç kontrol sistemi oluşturur isem; varlıklarım korunacak,
raporlamalarım doğru olacak, mevzuata uygun hareket ettiğimden otoritelerle başım derde girmeyecek (vergi,
çevre, ticaret, iş hukuku, vb.), iç düzenlemelere uyulduğundan sistemli ve disiplinli bir kurumsal yapım olacak,
faaliyetlerimde ise etkin ve verimli olacağım. Yani karlılık, sürdürülebilirlik ve büyüme hedeflerimi yerine
getirebileceğim, itibarımı koruyabileceğim. İç kontrol sistemi bana, amaç ve hedeflerimi gerçekleştirmeme yönelik
makul bir güvence verecek. Örneğin, yıllık %5 büyüme hedefim var ise, bu hedefe ulaşmamı engelleyecek
22
yüzlerce de riskle karşı karşıyayım demektir. Etkin bir iç kontrol sistemine sahip olur isem, bu risklere yönelik
yeterli düzeyde tedbir alınmasını sağlarım. Bu sayede beni bu hedeften uzağa düşürecek, başarısız kılacak
tehditleri öngörür ve iç kontrol sistemim ile bunların bana verebileceği hasarı önlerim.
İç kontrol sistemi, kontrol ortamı ile başlar ve izleme ile son bulur. Ancak burada dinamik bir süreç söz konusudur
ve iç kontrolün 5 unsurunun her biri de, zaman içinde yeniden değerlendirme altına alınarak sürekli revize edilir.
Örgüt genelinde süreçlerin belirlenmesi, süreç analizlerinin yapılması, iş prosedürlerinin yazılı hale getirilmesi, iş
akışlarının çıkartılması, iş ve görev tanımlarının belirlenmesi, etik kuralların oluşturulması gibi faaliyetler ile kontrol
ortamı iyileştirilmiş olur. Ancak bu iç kontrol sistemi açısından sadece bir başlangıçtır. Bu çalışmalara ek olarak
kurum genelinde;
− risklerin tespit edilmesi, ölçülmesi ve önceliklendirilmesi,
− iç kontrollerin tespit edilmesi ve yeterliliklerinin değerlendirilmesi,
− gereksiz, verimsiz ve yetersiz kontrollerin ayıklanması ve yerlerine yenilerinin oluşturulması,
− süreçlerin iç kontrol sistemini güçlendirir şekilde yeniden yapılandırılması,
− kurum içi bir risk ve kontrol veritabanı oluşturulması,
− kurumda kullanılan bilgi sistemleri ve iletişim mekanizmalarının etkinlik, verimlilik, ekonomiklik anlamında
değerlendirilmesi, geliştirilmesi,
− bilgi sistemlerindeki kontrollerin değerlendirilmesi,
− kurumun iş sürekliliği, olağanüstü durum planları ve kriz yönetimi planlarının değerlendirilmesi,
geliştirilmesi,
− yönetim ve iç denetçiler tarafından iç kontrollerin sürekli ve periyodik takibinin yapılması,
değerlendirilmesi,
gerekmektedir. Bu çalışmaların gerçekleştirilmemesi halinde etkin bir iç kontrol sisteminin varlığından söz etmek
mümkün olmayacaktır.
Son olarak iç kontrol ile ilgili bazı kritik noktalara parmak basalım;
1) İç kontrol sistemi kurmak demek gereksiz bürokrasi veya kağıt trafiği üretmek demek değildir. Gereksiz
bürokrasi iç kontrolün düşmanıdır. Binlerce sayfa dokümantasyon, gereksiz iş prosedürleri ve verimsiz
metotlar önerildiği zaman bu durumu sorgulayın. İç kontrolün amacı verimlilik ise, size kağıt bürokrasisi
yaratan danışmanlık uygulamalarından kaçının. İç kontrol sistemi demek kalite yönetim sistemi demek
değildir. Kalite yönetim sistemi için gereken pek çok unsur, iç kontrol için gerekli değildir.
2) İç kontrol asla sadece 5018 sayılı Kanun emrediyor diye kurulmamalıdır. İç kontrol, kurumun risklerini
daha iyi yönetmesi ve amaçlarına ulaşması için kurulmalıdır. İç kontrol kağıt üzerinde kalacak ve zaman
içinde eskiyecek bir sistem değildir. İç kontrol, yaşayan, faaliyetler ile entegre ve her daim güncel
tutulması gereken bir yönetsel fonksiyondur.
23
3) İç kontrol sistemi oluşturmak kolay değildir. Ciddi bir bilgi birikimi ve yetkinlik gerektirir. İç kontrol
konusunda uzman olduğunu iddia eden kişilerden eğitim veya danışmanlık almadan evvel bu kişilerin ne
kadar yetkin olduklarını sorgulayın. Yukarıda verdiğimiz sorular ile bunu sağlayabilirsiniz.
4) İç kontrol sisteminin özünün amaç ve hedefler ile bunları tehdit eden riskler olduğunu unutmayın. İç
kontrolün özü ne süreç yönetimi, ne de kalite yönetimidir. İç kontrol riskler için vardır ve özünde riskler yer
alır. Risklerini tespit etmeyen, doğru yöntemler ile ölçmeyen ve bunlara yönelik iç kontrollerini
değerlendirme altına almayan bir kurumda iç kontrol sistemi var denilemez.
5) Eylem planlarına sahip olmak demek iç kontrol sistemine sahip olmak demek değildir. Eylem planlarında
yer alan tüm faaliyetleri yerine getirmek ve bunları makul sürelerde gerçekleştirmek gerekmektedir.
6) Kurumun bilgi sistemlerini yani kurumda kullanılan sistem, yazılım ve donanımı asla kontrol sisteminin
dışında tutmayın. Bilgi sistemleri, iç kontrol sisteminin en önemli parçalarından bir tanesidir. Güçlü bir iç
kontrol sistemi, ancak güçlü bir iç denetim faaliyeti var ise söz konudur. Çağdaş, risk odaklı iç denetim
faaliyeti tarafından denetlenmeyen bir iç kontrol sistemi etkin kabul edilemez.
5. İç Kontrolün Özü Nedir?
İç kontrol de tıpkı iç denetim gibi iş dünyasında son dönemlerde en çok konuşulan konulardan biridir. İç kontrol;
5018 sayılı Kanun nedeni ile kamu idarelerinde, SPK düzenlemeleri nedeni ile aracı kurumlarda, Bankacılık
Kanunu ve Bankaların İç Sistemleri Hakkında Yönetmelik sebebi ile Bankalarda ve yeni TTK nedeni ile hisseleri
borsada işlem gören şirketlerde kurulması zorunlu bir sistemdir. (risklerin erken teşhisi ve önlenmesi işi
kapsamında). Kanuni düzenlemelere kadar girmiş, ülkemiz şirket ve kamu idarelerinin önemli bir işi haline gelen
“iç kontrol” halen anlaşılamıyor. Ne olduğu, nasıl oluşturulacağı, ne şekilde fayda sağlanabileceği bilinmiyor. Bu
yazıda bu konulara biraz açıklık getirmek istiyorum.
İç kontroller, bir kurumda riskleri azaltmaya yönelik işlev gösteren uygulama, prosedür, politika, süreç, sistem ve
eylemlerdir. İç kontrol sistemi ise, kurum genelinde amaç ve hedeflerin gerçekleştirilmesi amacı ile tesis edilen,
tüm bu kontrolleri de kapsayan, ancak yönetim ve organizasyon, risk değerlendirmesi, iletişim, bilgi sistemleri ve
iç denetimi de kapsayan bir yönetim aracı, üst düzey bir yönetsel kontrol mekanizmasıdır. İç kontrolleri kapsar,
onları belirli bir sistematik çerçevesine oturtur ve kurum iş süreçlerinin riske duyarlı olarak yönetimini sağlar.
Hem münferit iç kontrol uygulamalarının, hem de üst düzey ve operasyonlar ile entegre bir sistem olarak iç kontrol
sisteminin özünü anlamak, sistemi oluşturmak, işletmek ve verim sağlamak adına önemlidir. Hatta iç kontrolü
doğru anlamak, fayda sağlamanın ön koşuldur.
Bugün ülkemizde hem özel sektör, hem de kamu idarelerinde iç kontrol; kalite yönetimi, süreç yönetimi,
dokümantasyon, yeniden yapılandırma ve denetim gibi farklı yönetsel araç ve kavramlar ile karıştırılmaktadır. Bu
sayılanlar ülkemizde, bilindiği, tanındığı ve uygulama boyutu kazanmış olduğu için, iç kontrol bu kavramlar
24
potasında eritilmek istenmektedir. Tüm bu yönetsel kavramlar ki buna iç kontrol de dâhil, esasen aynı amacı
hedefler; kurumsal performansın ve buna bağlı olarak başarının artırılması. Ancak bunu sağlamak için farklı
yöntemler kullanırlar. Yolculukları farklı yönlerde gerçekleştir. Bu yönüyle aynı şehre doğru farklı yollardan yola
çıkan ve farklı yolları kullanan yolculara benzetebiliriz. Bu araçlar birbirlerine rakip değildir, birbirlerine ikame
değildir.
Bazı yönlerden birbirlerine oldukça benzeseler de her birinin farklı bir temel yaklaşımı (özü), yöntemler seti ve
uygulama yaklaşımı vardır.
İç kontrol de özü itibariyle diğer yöntemlerden ayrılır. İç kontrolün özü “risk” tir. İç kontroller ve bir bütün olarak iç
kontrol sistemi riske karşı verilen kurumsal bir tepkidir. Diğer bir ifade ile iç kontrol, kurum strateji ve
operasyonlarındaki (süreç seviyesi) risklerin, kurumun kabul edebileceği seviyeye, yani kuruma zarar verme
potansiyeli minimize edilmiş seviyeye indirilmesini sağlar.
Diğer yönetim araçları performans ölçümü ve bu değerlendirme sonrası performansı iyileştirici düzeltici faaliyetler
peşinde iken, iç kontrol, olası risklerin önceden tespiti ve performansı en baştan olumsuz etkileme potansiyeli
taşıyan unsurlara karşı tedbir alınmasını amaçlar. Elbette istisnaları olmakla birlikte iç kontrol ex ante, diğerleri ex
post yaklaşımları barındırır. Diğer bir farklılık, iç kontrol dışındaki yönetsel araçların, sürekli iyileşme ve revizyon
peşinde koşmalarıdır. İç kontrol sürekli iyileşme peşinde koşmaz. Mevcut durumun tespiti, mevcut durumdaki
risklerin tanımlanması ve azaltılması temel önceliktir. Mevcut durumda yönetim kapasitesi, risk esaslı bir düşünce
tarzı ile iyileştirilmeye çalışılır. İç kontrol, sürekli iyileşme ile değil, risklerin azaltılması ile ilgilidir. Bazı riskler,
elbette süreç tasarımı veya organizasyon yapısının kendisinden kaynaklanır. Böyle durumlarda, risk iyileştirme
eylemleri açısından, süreç veya organizasyon yapısında iyileşme sağlanması gerekli olur. İç kontrolün özellikle
kalite bazlı araçlara yakınsadığı nokta bu koşullardır.
İç kontrol denince akla gelecek ilk hususlar süreçler, dokümantasyon, iş akışları, görev tanımları, vb. konular
olmamalıdır. İç kontrol denince akla ilk gelen kavram “risk” olmalıdır. Risk olmadan, iç kontrol olmaz. İç kontroller,
risklere endeksli uygulamalardır. Riskin ön planda olmadığı bir sisteme iç kontrol sistemi demek doğru olmaz.
İç kontrol çalışmalarını diğer yönetsel araç ve sistemler ile karıştırmamalıyız. Onların faydasız olduğu iddiasında
değiliz. Aksine, iç kontrol kadar önemlidirler. Ancak, iç kontrolün ikamesi değildirler. Kalite eksenli çalışmalar, iç
kontrolün yerine geçmez. Kalite yönetimi uzmanları, elbette kendilerini risk konusunda da bilgilendirip, bu ek
hizmeti de vermek suretiyle, sistemler arasında uyum kazanılmasını sağlayabilirler. Ancak burada oldukça ciddi
bir öğrenme çabası içine girmeleri gerekir. Konuyla ilgilenen herkesin en başta COSO tarafından yayımlanan “İç
Kontrol Entegre Çerçevesini” okuması şarttır (www.coso.org). ISO 9001, ISO 27001 veya diğer kalite
dokümantasyon standartları ile iç kontrolün ancak bazı bileşenleri faaliyet gösterecek, onlar da eksik olarak
çalışmış olacaktır. İç kontrol, risk odaklı ve farklı bir konudur. Bunun anlaşılması ancak en iyi uygulamaların
anlaşılması ile mümkün olabilir. Bu sebeple COSO’ nun 1992 tarihli olan ve 2013′ te güncellenen “İç Kontrol
Entegre Çerçevesini” herkesin tam olarak ve üst üste birkaç kere okumasını öneriyorum. Bu çerçevede konuya
“risk” ve “iç denetim” eksenli bakıldığı görülecek ve iç kontrolün bir dokümantasyon işi olmadığı anlaşılacaktır.
25
6. Kurumsal Verimliliğin Arttırılmasında Yeni Bir Araç: İç Kontrol
Günümüz dünyasında kalkınmanın itici gücü olarak kabul edilen verimlilik en genel anlamda, “üretilen mal ve
hizmet miktarı ile bu mal ve hizmet miktarının üretilmesinde kullanılan girdiler arasındaki oran” olarak
tanımlanabilmektedir. Yani, üretim sürecine sokulan çeşitli faktörlerle(girdiler) bu sürecin sonunda elde edilen
ürünler (çıktılar) arasındaki ilişkiyi ifade eden verimlilik, savurganlıktan uzak, kaynakları en iyi biçimde
değerlendirerek üretmeyi ifade eder.
Özellikle işletmeler açısından hayati bir konu olan verimlilik, işletmenin genel performansının ölçülmesi,
performansın işletme birimleri düzeyinde kontrol edilmesi, çalışma koşullarının iyileştirilmesi ve üretim kapasitesi,
çıktı tahmini, kaynak gereksinimi ve maliyet tahminlerinin bütçe amaçlarına uygun olarak yapılabilmesini
sağlamak açısından önem taşımaktadır. Verimliliğin işletmelere sağladığı pek çok fayda söz konusu olup, bunlar
arasında en önemlileri, başta maliyetlerin düşürülmesi olmak üzere, işin basitleştirilmesi, üretim ve kalitenin
artması, zaman, insan gücü ve enerji tasarrufları ve işletmede bilgi akışının hızlandırılması ve hızlı karar
alınmasıdır.
Bu bağlamda işletme faaliyetlerinde yüksek verimlilik sağlamak, yani aynı kaynaklar ile daha çok çıktı elde etmek
ya da aynı çıktıyı daha az kaynak ile sağlamak, büyük önem taşımaktadır. Maliyet tasarrufları, çıktı ve kalite
artışları, işlerin basitleştirilmesi, hızlı ve sağlıklı karar alma gibi faydaları elde etmek için işletmelerin yüksek bir
verimliliğe sahip olmaları gerekmektedir. Yine benzer şekilde, verimsizliğe neden olan koşulların ve faktörlerin
azaltılması veya ortadan kaldırılması da verimliliğin artırılmasına olanak sağlamaktadır. Günümüz iş dünyasında
hızla değişen çevresel unsurlar ve artan rekabet karşısında işletmeler, ancak verimliliklerini artırmak veya
verimsizliklerini azaltmak sayesinde ayakta kalıp, sürdürülebilir bir karlılığa sahip olabilmektedirler.
Tam bu noktada, kurumsal faaliyetlerde verimliliği destekleyen ve verimliliğin sürdürülmesine yardımcı olan veya
verimsizlik yaratan koşulları tespit edip, ortadan kaldıran kurumsal mekanizmaların önemi ortaya çıkmaktadır.
Faaliyetlerde verimliliğin artırılması veya verimsizliklerin azaltılmasına yardımcı olan kurumsal araçların başında
“iç kontrol sistemleri” gelmektedir.
Dünyada genel kabul gören tanımı (COSO) ile iç kontrol, “kurumun yönetim kurulu, yöneticileri ve diğer personeli
tarafından yürütülen ve finansal raporlamaların doğruluğu ve güvenilirliği, operasyonların etkinlik ve
verimliliği ile kanun ve düzenlemelere uygunluğun sağlanması şeklindeki amaçların gerçekleştirileceğine
yönelik makul güvence sağlayan bir süreç” olarak tanımlamıştır. Türkiye’de ise kamu perspektifinden iç
kontrol, “İdarenin amaçlarına, belirlenmiş politikalara ve mevzuata uygun olarak faaliyetlerin etkili, ekonomik ve
verimli bir şekilde yürütülmesini, varlık ve kaynakların korunmasını, muhasebe kayıtlarının doğru ve tam olarak
tutulmasını, malî bilgi ve yönetim bilgisinin zamanında ve güvenilir olarak üretilmesini sağlamak üzere idare
tarafından oluşturulan organizasyon, yöntem ve süreçle iç denetimi kapsayan malî ve diğer kontroller bütünü”
olarak tanımlanmaktadır.
26
İç kontrolün yurt dışı ve içi otoriteler tarafından ortaya koyulmuş olan tanımları göz önüne alındığında, bu
tanımlarda pek çok ortak nokta olduğu görülmektedir. Bunların başında, iç kontrolün “faaliyetlerin etkin ve verimli
yürütülmesinin sağlanması” yani diğer bir ifade ile kurumun “etkililik ve verimlilik” hedeflerinin gerçekleştirilmesini
sağlamaya yönelik bir odağa sahip olduğu görülmektedir. Diğer 2 odaktan (mali raporlamaların güvenilirliği ve
kanun ve düzenlemelere uygunluk) farklı olarak faaliyetlerin etkili, verimli ve ekonomik yürütülmesi amacı,
doğrudan kurumsal verimliliği işaret etmektedir. Kurum genelindeki tüm iş birimleri ve süreçlerinde tasarlanan ve
yürütülen iç kontrollerin, etkili, verimli ve ekonomik iş yapışı temin etme misyonu, iç kontrol kavramını “verimlilik”
ile yakından ilişkilendirilebilmesine imkan sağlamaktadır.
İç kontrolün örgüt genelinde verimliliğin sağlanmasına ilişkin rol ve önemine bakılmadan önce, kısaca etkililik ve
verimlilik kavramlarına da göz atmak gerekmektedir. Etkililik, örgütlerin, gerçekleştirdikleri faaliyetlerin sonucunda
amaçlara ulaşma derecesini belirleyen bir performans boyutudur. Verimlilik ise, daha önce belirtildiği üzere,
üretim sürecine sokulan çeşitli faktörlerle (girdiler) bu sürecin sonunda elde edilen ürünler (çıktılar) arasındaki
ilişkiyi ifade etmekte olup, savurganlıktan uzak, kaynakları en iyi biçimde değerlendirerek üretmek anlamına
gelmektedir.
Şekil-1: Etkinlik-etkililik-verimlilik ilişkisi.
İç kontrolün, kurumların etkililik ve verimliliğe yönelik amaçlarını gerçekleştirmesine yönelik katkısı, esasen, bu
amaçları tehdit eden risklerin azaltılması şeklinde gerçekleşmektedir. İç kontrol literatüründe “risk”, genel olarak
amaç ve hedeflere ulaşmayı engelleyebilecek her tür olumsuz olay, durum ya da tehdit şeklinde
tanımlanmaktadır. Günümüz işletmeleri açısından sistemsel, stratejik, imaj-itibar, yasal, operasyonel ve finansal
olmak üzere pek çok iç ve dış kaynaklı risk türü söz konusudur. Bu risk türlerinden, özellikle operasyonel risklerin,
kurumların etkili ve verimli çalışmasına önemli ölçüde engel olabileceği görülmektedir. “Yetersiz ve başarısız
sistem, süreç, organizasyon, personel ya da dışsal olaylardan kaynaklanan doğrudan ya da dolaylı zarar riski
olarak” tanımlanan operasyonel riskler, tek başına olmasa da, önemli ölçüde verimsizliklerin kaynağı olarak işlev
göstermektedir.
Yetkin olmayan insan kaynağı, kötü tasarlanmış süreç, yetersiz otomasyon, kötü planlanmış iş akışı, belirsiz iş
tanımları, etkisiz metodlar, kötü organizasyon yapıları, iyi tanımlanmamış performans göstergeleri, kontrol altına
alınamayan sistemler ve önlem alınmayan olası dış tehditler (fiyat artışları, piyasa hareketleri, tedarikçi kayıpları,
27
teknolojik değişiklikler, doğa olayları) kurumsal verimliliği tehdit eden en önemli risklerin başında gelmektedir. Bu
risklerin, gerçekleşmesi, örgütün verimsiz çalışmasına ve hatta çoğu zaman etkili olamamasına neden olmaktadır.
Operasyonel risklerin, kurumlarda gerçekleşen pek çok hata, suiistimal, verimsizlik ve başarısızlıkta önemli rol
oynadığı bilindiğinden, bu risklere karşı gerekli tedbirlerin alınması gerekmektedir. İç kontroller ve genel olarak iç
kontrol sistemleri, operasyonel risklere karşı alınabilecek en maliyet etkin tedbirlerin başında gelmektedir. İç
kontrolün tanımına bakıldığında, sistem, süreç, yöntem, prosedür ve iç denetimi de kapsayan uygulamalardan
oluştuğu görülmektedir. Tüm bu unsurların, kurumsal faaliyetlerde stratejilerden, planlardan, programlardan,
standartlardan, iyi uygulamalardan, talimatlardan ve kriterlerden sapmaları önlemek üzere, yani kurumu belirli bir
rotada ve kaynaklarını verimli kullanır şekilde tutmayı amaçladığı söylenebilir. Kurumsal amaç ve hedeflerin
gerçekleştirilmesi (etkililik) ve bu amaç ve hedeflerin temeli olan çıktıların daha az ve daha kaliteli girdi ile
gerçekleştirilmesi (verimlilik) noktasında, “girdi-faaliyet-çıktı” aşamalarındaki tüm risklerin iyi yönetilmesi gerektiği
görülmektedir.
Verimliliği artırma noktasında yürütülen pek çok çalışmanın, aslında sağlıklı bir iç kontrol sistemi oluşturularak,
sistematik hale getirilmesi mümkündür. Verimlilik artışı esas olarak kaynakların daha etkin kullanımı, planlama ve
kontrol fonksiyonlarının iyileştirilmesi, süreçlerin daha iyi tasarlanması, yetkin insan kaynağı kullanımı, yeni iş
metotları geliştirilmesi, maliyet etkin otomasyonlar, ve çıktıların etkililiğinin artırılması ile sağlanabilmektedir. Bu
hususlara ek olarak yeni ve modern teknolojik yatırımlarla birim zaman içindeki üretim miktarı arttırılabilir. Tüm bu
noktalarda, iç kontrol sistemleri yukarıda belirtilen çalışma ve çabaları sistematik ve disiplinli bir çerçeveye
oturtmaktadır. Yani bir anlamda, verimliliğin artırılması tek amaç olmamakla birlikte, iç kontrol sistemleri,
verimliliğin artırılmasına yönelik sistemli bir araç olarak işlev göstermektedir.
Yasal otoriteler, meslek örgütleri ve diğer ilgili organizasyonlar (Basel, BIS, COSO, CoCo gibi), işletmelerde
verimliliği azaltan veya verimliliğin artırılmasına engel olan risklerin etkin bir şekilde azaltılabilmesini sağlamaya
yönelik olarak bazı önerilerde bulunmaktadır. Bu önerilerin başında, kurumlarda iç kontrol sistemleri kurulması
gelmektedir. Dünyada iç kontrole ilişkin olarak pek çok zorunlu veya zorunlu olmayan düzenleme bulunmakla
birlikte, bunların en başında, 1992 tarihli COSO Raporu gelmektedir. Orijinal ismi Internal Control- Integrated
Framework (İç Kontrol-Bütünleşik Çerçeve) olan bu dokümanda, bir kurumun, kar amacı gütsün veya gütmesin,
sahip olması gereken iç kontrol sisteminin ana hatları, temel unsurları ve mekanizmaları genel olarak tarif
edilmiştir. COSO raporunda yer alan iç kontrol modeli ile genel kabul gören verimlilik artırma metodoloji ve
teknikleri karşılaştırıldığında, COSO raporunda yer alan sistematiğin, verimlilik artırmaya yönelik pek çok
çalışmayı kapsadığı ve bunlara özel önem verdiği görülmektedir. Elbette ki bir iç kontrol sisteminin verimliliği
artırma dışında; faaliyetlerde etkililik, yasal düzenlemelere uyum, varlıkları koruma ve mali raporlamaların
güvenilirliğini sağlama gibi bazı ek amaçları da bulunmaktadır. Ancak, hangi amacı gerçekleştirmek için
tasarlanmış olursa olsun, COSO tarafından önerilen model, verimliliğin artırılmasına yönelik işlev gösteren bazı
mekanizmalara sahiptir.
COSO modeline göre bir kurumun, faaliyetlerinde etkililik ve verimliliği sağlaması, mali raporlamalarının güvenilir
olması ve mevzuata uyum hedeflerini, tüm iş birimleri ve süreçlerinde aşağıdaki şekilde görülen 5 unsuru
sağlıklı bir şekilde tesis etmek ile “makul düzeyde” gerçekleştirebilmesi mümkün olacaktır:[5]
28
Şekil-2: COSO İç Kontrol Unsurları
Bu unsurlara bakılacak olur ise;
− COSO’ya göre kurum içinde öncelikle güçlü bir Kontrol Ortamı’nın bulunması şarttır. Eksiksiz bir
iç kontrol sisteminin temeli kontrol ortamına dayanmaktadır. Kontrol ortamı, kurum çalışanlarının kontrol
bilincini etkileyerek, şirketin konuya bakış açısını belirlemektedir. Kontrol ortamı; disiplin ve düzen
sağlayarak, iç kontrolün diğer unsurları için temel oluşturur. İç kontrolün genel kalitesini etkileyen genel
atmosferi yaratır ve iç kontrol disiplinini sağlar. İç kontrol ortamını oluşturan unsurlar genel
olarak; dürüstlük ve etik değerler, üst yönetimin felsefesi ve tutumu, yönetimin çalışma şekli, insan
kaynakları yönetimi ve politikaları, örgüt yapısı, yetki ve sorumlulukların tahsisi, iş ve görev tanımlarının
belirlenmesidir. Kontrol ortamının iyileştirilmesi, tüm iç kontrol sisteminin geliştirilmesine imkan verir.
Kontrol ortamı unsurlarından bir veya birkaç tanesi sorunlu olur ise, bundan sonraki diğer unsurlarda da
etkinlik sağlamak mümkün olmaz. İyi iç kontrol uygulamalarının çıkış noktası ve iç kontrol sisteminin en
önemli unsuru kontrol ortamıdır.
− Risk Değerlendirme faaliyetlerinde, kurumun tüm iş birimleri ve süreçlerindeki riskler belirlenir ve analiz
edilir. Risk değerlendirmesi, hedeflere ulaşmayı engelleyebilecek risklerin tanımlanmasına, ölçülmesine
ve riskin nasıl değerlendirilmesi gerektiğine dair kararlara temel oluşturur. Bunun sebebi; ekonomik,
endüstriyel, hukuksal ve yönetsel şartların değişmeye devam edecek olması ve bu değişime ait özel
riskleri tanımlayacak ve bunlarla baş edecek mekanizmalara ihtiyaç duyulmasıdır. Risk değerlendirme
aşamasında, birim ve süreçleri etkileyen tüm kritik riskler tespit edilir, bu riskler kuruma verebilecekleri
zarar çerçevesinde ölçülür ve risklerin kritiklik düzeyleri tespit edilir. Risk değerlendirme faaliyetlerinin
amacı, örgütün iş süreçlerini etkileyen tüm kritik risklerin ortaya çıkartılarak, kontrol altına alınmasını
sağlamaktır. Risk değerlendirmelerinde, örgüt genelinde gerçekleşen önemli hata ve suiistimaller,
verimsizlikler, darboğazlar, değişimler, yenilikler ve dışsal faktörlerin etkileri göz önünde
bulundurulmalıdır.
29
− Kontrol Faaliyetleri, yönetsel, mali ve operasyonel faaliyetlerin belirlenmiş strateji ve planlara uygun bir
şekilde gerçekleştirilmesinde yöneticilere yardımcı olan politika, prosedür ve yöntemlerdir. Kontrol
faaliyetleri ile kurumsal risklerin azaltılması amaçlanmaktadır. Katı kontroller olarak tanımlanan kontrol
faaliyetleri, risklerin azaltılmasına yönelik ana strateji olarak işlev gösterir. Önleyici, yönlendirici, düzeltici
ve/veya tespit edici mahiyette olabilir. Yetki ve onay mekanizmaları, görevler ayrılığı, mutabakatlar,
revizyonlar, iç doğrulamalar, kurum varlıklarının korunmasına yönelik erişim kısıtlamaları (fiziki ve kaydi),
kontrol izleri, operasyonel süreçlerin gözden geçirilmesi, süpervizyon ve mevzuat direktifleri genel kontrol
faaliyetleri arasında yer alır. Her kurum kendi sektörü, faaliyetleri, organizasyon yapısı, yönetimi ve
kültürüne uygun kontrol faaliyetleri tasarlar ve uygulamaya alır. Kontrol faaliyetleri hemen her kurumda,
tüm iş süreçlerinde işin gereği olarak bulunmalıdır.
− Bilgi ve İletişim, iç kontrol süreçlerinde yer alan bilgilerin oluşturulması, saklanması, raporlanması ve
bunların örgüt genelinde yukarıdan aşağıya, aşağıdan yukarıya ve birimler arasında iletilmesini
kapsamaktadır. Ayrıca, sağlıklı bir iç kontrol süreci tesis edebilmek ancak çok yönlü ve açık iletişim
kanalları yoluyla mümkündür. Etkin bir iç kontrol sistemi kurmak ve kurumun hedeflerini gerçekleştirmek
için bir organizasyonun bütün kademelerinde bilgiye ihtiyaç duyulur. Anlamlı, güvenilir ve uygun bilgi
personelin kontrol ve diğer sorumluluklarını yerine getirmesine imkân verecek biçimde ve zaman dilimi
içinde belirlenip sağlanmalı ve onlara duyurulmalıdır. Bilgi sistemleri ise, süreçte hem iç kontrole ilişkin
mali ve mali olmayan bilgileri içeren raporlar hazırlanması, hem risk ve kontrol bilgilerinin saklanması ve
analizi, hem de iş süreçlerinde ihtiyaç duyulan bilgilerin zamanında ve doğru şekilde aktarılması amaçlı
işlev gösterir. Kurum içinde üretilen bilgi ve raporlar, hem iç hem de dış kullanıcıların ihtiyaçlarını
karşılamalıdır.
− İzleme faaliyetinin temel amacı, genel olarak iç kontrol sisteminin ve süreçlerdeki iç kontrollerin arzu
edildiği şekilde çalışıyor olmasını ve koşullardaki değişikliklere gerektiği biçimde uyum göstermesini
sağlamaktır. İzleme sistemleri ile iç kontrol sisteminin yeterliliği, etkinliği ve verimliliği hakkında bir
değerlendirme yapılmalıdır. İç kontrol sisteminin izlenmesi sürekli gözetim, özel değerlendirme ya da her
ikisinin bir arada uygulanmasıyla gerçekleştirilebilir. Sürekli gözetim faaliyetleri, yönetimce yapılan izleme
ve diğer rutin izleme prosedürlerini içermektedir. Kurum içinde faaliyetlerin içine yerleştirilmiş ve bu
faaliyetlerin etkin bir şekilde yürütülmesini sağlamaya yönelik oluşturulmuştur. Özel değerlendirmelerin
sıklığı ve kapsamı, özellikle risk değerlendirmesine ve sürekli gözetim prosedürlerinin etkinliğine bağlıdır.
İç kontrol aksaklıkları, diğer önemli konularla birlikte, üst yönetime ve yönetim kuruluna raporlanmalıdır.
Bu kapsamda, yönetim tarafından gerçekleştirilen kontrol öz değerlendirmeleri ya da iç ve dış denetçiler
tarafından gerçekleştirilen resmi değerlendirmeler söz konusu olabilir. İzleme unsurunun en önemli
parçası, iç denetim mekanizmasıdır. İç denetim faaliyetinin temel görevi örgütün iç kontrol sisteminin
sağlıklı bir şekilde oluşturulması ve yürütülmesine yönelik güvence ve danışmanlık hizmetleri sağlamaktır.
İç denetim, diğer tüm unsurların geliştirilmesi yönünde, destekleyici ve rehberlik sağlayıcı bir hizmet
olarak, iç kontrol sisteminin en önemli mekanizmalarından bir tanesidir.
Yukarıda bahsedilen ve iç kontrol sistemi unsurları ile bu unsurlar kapsamında gerçekleştirilen sistematik
çalışmalar ile verimliliği artırmaya yönelik teknik ve yöntemler karşılaştırıldığında, iç kontrolün verimlilik ile ilişkisi
daha rahat anlaşılabilmektedir.
30
Verimliliği artırmak amacı ile göz önünde bulundurulması gereken faktörler su şekilde sıralanabilir:
• Dış (kontrol edilemeyen) faktörler
• İç (kontrol edilebilen) faktörler
İç faktörler; katı faktörler ve esnek faktörler olmak üzere ikiye ayrılmaktadır. Katı faktörler, ürün, fabrika ve
teçhizat, teknoloji, malzeme ve enerjidir. Esnek faktörler ise, insan kaynakları, organizasyon ve sistemler, çalışma
metotları ve yönetim biçimleridir. Dış faktörler; yapısal düzenlemeler, doğal kaynaklar ile hükümet ve altyapı
olarak üç başlık altında ele alınabilir. Yapısal düzenlemeler, ekonomik ve sosyal olarak gruplandırılırken, doğal
kaynaklar, insan gücü, arazi, enerji ve hammaddeler olarak gruplandırılmıştır. Hükümet ve altyapı faktörü altında
ise kurumsal mekanizmalar, politika ve stratejiler, altyapı ve kamu işletmeleri yer almaktadır.
İç ve dış faktörler her organizasyon açısından farklılık arz eder. Organizasyonun içinde bulunduğu bölge, ülke,
şehir, sektör, iş kolu ve diğer makro değişkenler iç ve dış faktörlerin yapısını belirler. Organizasyonlar, verimliliği
artırma çalışmalarında iç ve dış faktörleri birlikte dikkate almak ve özellikle dış faktörler çerçevesinde, diğer ilgili
taraflarla güç birliği yapmak zorundadır. Verimlilik arttırmada ilk adım iç ve dış faktörler içinde sorun yaratan
alanları saptamak, ikinci adım ise bunlar arasından kontrol edilebilir veya nüfuz edilebilir olanları tespit ederek
bunlar üzerinde odaklanmaktır. Genellikle iç faktörlerin, bazı nüfuz edilebilir dış faktörlerle birlikte ele alınması ve
bu faktörler üzerinde yoğunlaşarak gelişme sağlanması mümkündür.
Bazı genel kabul gören verimlilik artırma yöntemlerine bakıldığında kullanılan tekniklerin çoğunlukla, bilgi toplama
ve iş etkililiğini artırma amacına yönelik olduğu görülmektedir. Bu teknikler, örgüt geliştirme, süreç analizi, süreç
yeniden yapılandırma, süreç iyileştirme ve örgütsel yeniden yapılandırma gibi organizasyon bazlı yaklaşımlar
olabileceği gibi, iş etüdü, metot etüdü, iş ölçümü, iş basitleştirme, pareto analizi, tam zamanlı üretim yönetimi,
değer analizi yoluyla yönetim, maliyet fayda analizi, maliyet verimlilik tahsisi, beyin fırtınası, güç-alanı analizi gibi
araçlar da olabilir.
Verimlilik geliştirme amaçlı odaklanılan faktörler ile kullanılabilecek tekniklere bakıldığında, bu faktör ve
tekniklerin, doğru tasarlanmış, yeterli ve etkin iç kontrol sistemleri içinde kullanım alanı buldukları görülmektedir.
İç kontrol ve verimlilik arasındaki ilişki, iç kontrol sisteminin, amaç ve hedeflerini gerçekleştirmeye yönelik,
özellikle de operasyonel etkinlik ve verimlilik hedeflerini sağlamaya dönük uygulamaları üzerinden
kurulabilmektedir.
Aşağıdaki tablo, COSO iç kontrol hedefleri ve COSO’nun 5 iç kontrol unsurunu, verimliği artırmada önem taşıyan
faktörler ve verimlilik artırma teknikleri ile ilişkisini göstermektedir.
31
Operasyonel etkililik ve
verimlilik/kaynakların etkili ve
verimli kullanılması
Raporlamaların
doğruluğu
Mevzuat ve
düzenlemelere
uyguluk
Kontrol Ortamı ·Örgütsel değişim
·Süreç Analizi, İyileştirme ve
Yeniden Yapılandırma
·İnsan kaynakları
·İş analizi, etüdü, ölçümü
·Yönetim biçimi ve felsefesi
·İç ve dış
raporlamaların
doğruluğuna önem
verilmesi
·Yazılı iş politika ve
prosedürleri
·Etik kurallar
·Yasalara saygılı
yönetim
Risk
Değerlendirme
·Risk analizi
·Beyin fırtınası
·Ürün, üretim, satış, pazarlama
ve dağıtım riskleri
·Hatalı mali
raporlama risklerinin
tespiti
·Veri güvenliği ve
bütünlüğü riskleri
·Mali veri ve
raporlamaya ilişkin
düzenleme ve
standartlara
uygunluk risklerinin
değerlendirilmesi
Kontrol
Faaliyetleri
·Görevler ayrılığı
·İşe göre personel
·Eğitim
·Mevzuat
·Yetki ve onaylar
·Mali kontroller
·Hesap
mutabakatları
·Doğrulamalar
·Mizan kontrolleri
·Yazılı politika ve
prosedürler, talimat
ve yönergeler
Bilgi & İletişim ·Maliyet fayda analizleri
·Dışsal risklerin iletilmesi ve
raporlanması
·Değişikliklerin raporlanması
·ERP sistemleri
·Bilgi ve iletişim kanallarının açık
olması
·Raporlamalar
·Muhasebe ve
raporlama
yazılımları
·ERP raporlamaları
·Uygulama
kontrolleri
·Yasal düzenleme
ve mevuzat
değişikliklerinin bilgi
sistemleri ile takibi
·Değişikliklerin
iletilmesi
Gözetim ·Performans izleme,
değerlendirme ve geri bildirim
·Operasyonel denetimler
·Finansal denetim
·Yönetim izleme
mekanizması
·Uygunluk
denetimleri
·Dış denetimler
Yukarıdaki tablodan da görülebileceği üzere, verimlilik artırmak amaçlı odaklanılan faktörler ve kullanılan bazı
tekniklerin, COSO bazlı iç kontrol sistemleri dahilinde özellikle operasyonel etkinlik ve verimlilik hedefi dahilindeki
unsurlar ile kesiştiği görülmektedir. Buna ek olarak mevzuat ve düzenlemelere uygunluk ile raporlamaların
doğruluğu hedefleri dahilindeki bazı unsurların da, doğru ve zamanında bilgi sağlamak, dış otoriteler ile güven
32
veren ilişkiler kurmak ve dışsal faktörlerdeki gelişmeleri etkin bir şekilde takip edebilmek bağlamında, verimliliği
sağlamak ve artırmaya yönelik katkı sağlayabileceği düşünülmektedir.
İç kontrol sistemleri ile kurumsal verimlilik arasındaki ilişkilerin netleştirilmesi, konu ile ilgili daha detaylı
araştırmalar yapılmasını ve yukarıda ortaya koyulan “yeterli ve etkin bir iç kontrol sisteminin kurumsal verimliliği
artıracağı” şeklindeki tezin, ampirik bulgular ile desteklenmesini gerektirmektedir. COSO tarafından ortaya
koyulan “güçlü bir iç kontrol sistemi ve iyi iç kontrol ilkeleri” ile “verimlilik artırma yaklaşımları” arasında yakın ve
pozitif yönlü bir ilişki olduğu yönündeki düşüncemizin doğrulanması, konuyla ilgili kaliteli ve zengin veriye dayanan
bir araştırma yapılmasını gerekli kılmaktadır.
Özetle, iç kontrol ve verimlilik arasındaki ilişki, iç kontrolün operasyonel etkinlik ve verimliliği sağlama hedefi
çerçevesinde kurulmakta olup, iç kontrolün diğer hedefleri ile de desteklenmektedir. Kontrol süreçlerinde izleme
unsurunun içinde yer alan yönetimin ve iç denetimin, operasyonel etkinlik ve verimliliği artırmak için örgüt
yapısında, yönetim tarzında, süreç yönetiminde, kontrol faaliyetlerinde, bilgi ve iletişim sistemlerinde
gerçekleştireceği sistematik ve disiplinli iyileştirmeler ile, verimliliğin olumlu yönde etkilenmesi ve verimlilik artışları
sağlanması söz konusu olabilecektir.
33
7. Kamu İdarelerinde İç Kontrol Oluşturmada Kritik Başarı Faktörleri
2007 senesinden bu yana, kamu idarelerinde iç kontrolün gelişimini takip etmeye çalışıyorum. Daha önce, iç
denetçi olarak 2003-2010 seneleri arasında görev yapmış olduğum ve eski kurumum olan Merkez Bankasında, iç
kontrol ve iç denetim sistemleri oluşturma ile ilgili 7 senelik ciddi bir birikimim olduğundan, kamu idarelerinin bu
konularda nasıl bir gelişim sağlayacağını merak ediyordum. Merkez Bankasında görev yaptığım dönemde, bu
sistemleri oluşturmakta ekip olarak yaşadığımız zorlukların, diğer kamu idarelerinde de yaşandığını görmek pek
şaşırtıcı olmamıştı.
Merkez Bankasında görev yaptığım dönemde o dönemki (2002-2006) yönetimin maddi manevi destekleri ile iç
kontrol ve iç denetim alanlarında büyük başarı sağlamış ve Türkiye’ nin hem kamu hem de özel sektör
bağlamında “best practice” yani “en iyi uygulama” olarak kabul edilebilecek sistemlerini oluşturmuş idik. Elbette,
bu 5 senelik dönemde, büyük sıkıntılar da yaşamıştık. Geriye dönüp baktığımızda, bu başarıyı yakalamada,
yönetim desteğinin ne kadar önemli olduğunu gördüm. Şimdilerde pek çok kamu idaresinde, iç kontrol sistemi
oluşturma çalışmalarında bu desteğin eksik olduğunu görüyorum.
Merkez Bankasından ayrılarak, uluslararası danışmanlık şirketi Control Solutions International bünyesinde göreve
başladığım 2010 senesinden bu yana kamu idarelerine sağlıklı ve işe yarayan iç kontrol sistemleri
oluşturmalarına yönelik destek veriyorum. Türkiye’ de bu alanda hem uygulama tecrübesi hem de akademik
çalışmaya sahip nadir kişilerden olduğumdan, bu tecrübelerin boşa gitmemesi ve Merkez Bankasında
sağladığımız proje tecrübelerinin, kamu idarelerine aktarılması ve ülkemiz kamu yönetimi ve mali yönetim
yapılarının, iç kontrol sistemleri oluşturulmak suretiyle iyileştirilmesi için çaba gösteriyorum.
2010 senesinden bu yana geçen 3 sene içinde, 30′ un üzerinde kamu idaresi ile çeşitli eğitim, seminer,
danışmanlık ya da teknoloji çözümleri sağlamak suretiyle ilişki kurma fırsatı yakaladım. Bu esnada, 50′ ye yakın
üst ve orta kademe yönetici ile bizzat çalışma şansı buldum. Buna ek olarak, İdarelerde iç kontrol alanında
çalışan yüzlerce uzman ve iç denetçi ile çok yakın dostluklarımız söz konusu. Bu dostlarımızın kurmuş oldukları
Dernekler ile ortak eğitim çalışmaları yürüttük. Her vesile ile bir araya gelip, Türkiye’ de iç kontrol ve iç denetim
konularına ilişkin mesleki sohbetler yürütüyoruz. Tüm bu aktiviteler sonucu, ülkemizde iç kontrol sistemi oluşturma
çalışmalarına ilişkin bütüncül bir bakış açısı kazanma fırsatı bulduk. Yakın zamanda bir akademik çalışma ile bu
bakış açımız dâhilinde edindiğimiz kanaatleri de doğrulamak istiyoruz. Ancak bu çalışmanın gerçekleştirilmesini
beklemeden, bazı konularda düşünce ve tespitlerimi paylaşmak istedim. Bunların başında, iç kontrol sistemleri
oluşturmaya yönelik kritik başarı faktörlerinin değerlendirilmesi geliyor.
Gerek eski proje tecrübelerim, gerek akademik araştırmalarım, gerek yurt dışı en iyi uygulama örneklerine ilişkin
gözlemlerim, gerekse de son 3 sene içinde bizzat kamu idarelerinde yürüttüğüm iç kontrol çalışmaları göz önüne
alındığında, kamu idarelerinde iç kontrol sistemi oluşturma çalışmalarının başarı ile yürütülmesi ve tamamlanması
için 10 adet kritik başarı faktörü olduğunu tespit ettim. Bu tespit, konuya ilişkin yurt dışında iç kontrol alanında
çalışan meslektaşlarımın görüşleri ile de birebir uyumlu gözüküyor.
34
7.1. İç Kontrol Sistemi Oluşturmada Kritik Başarı Faktörleri
1) İç kontrol kavramının üst yöneticilere doğru ve ilgi çekici şekilde anlatılması ve üst yönetim desteğinin
kazanılması.
2) İç kontrolün süreç yönetimi, ISO 9001:2008 dokümantasyonu ve toplam kalite yönetiminden farklı ancak
bunlar ile ilişkili bir kavram olduğunu anlamak ve bu inisiyatifleri doğru bir şekilde yorumlayarak,
birbirlerinden ayrı ve verimsiz olarak yürütülen bu inisiyatifleri doğru metodolojiler ile entegre etmek.
3) İç kontrolün, stratejik planlama, performans programları, bütçe, iş süreçleri ve faaliyet raporlaması ile
entegre yönetilmesi gereken bir sistem olduğunun iyi anlaşılması ve bu entegrasyonun uygun bir model
çerçevesinde sağlanması.
4) İç kontrolün, üst yöneticiler haricindeki diğer kurum yöneticilerine sağlayacağı faydaların somut olarak
gösterilmesi ve orta/alt düzey yöneticileri iç kontrol projelerinin faydalanıcısı olarak sürece dahil etmek.
5) İç kontrolün COSO Modeli/Kamu İç Kontrol Standartları çerçevesinde 5 bileşenini vadeler bağlamında ele
almak ve iç kontrol projelerini kısa vadede risk değerlendirme ve kontrol faaliyetlerinin iyileştirilmesi, orta
vadede bilgi & iletişim ve izleme, uzun vadede ise kontrol ortamının iyileştirilmesine odaklanmak suretiyle
tamamlamak.
6) İç kontrol sistemi oluşturma ve yönetmede, kamu idarelerinin yapısına uygun GRC yazılımları veya İç
Kontrol Otomasyon çözümlerinden faydalanmak ve bu çözümler sayesinde iç kontrol projelerinin süre,
maliyet ve koordinasyon ihtiyacını minimize ederken, projenin sağlayacağı faydaları maksimize etmek.
7) İç kontrol sistemi oluşturma çalışmalarına, bir dokümantasyon çalışması olarak değil, yönetim kabiliyet ve
becerileri ile karar alma kapasitesini güçlendirecek bilgi sistemleri temelli çalışmalar olarak bakmak ve bu
şekilde bir beklenti oluşturmak. Projenin nihai çıktısının dokümantasyon değil, üst yönetime kurumu
yönetme ve kurum faaliyetlerini izlemede fayda sağlayacak ve aynı zamanda bir bilgi sistemi (yazılım) ile
desteklenen bir araç sağlamak olduğunun tüm kurum yöneticilerine iyi anlatılması.
8) İç kontrol çalışmalarında belirli bir yetkinliğe, metodolojiye, tecrübeye, gerekli mesleki sertifikalara (CIA,
CCSA gibi) sahip, konuya yukarıda geçen 7 madde çerçevesinde bakabilecek, gerçek danışmanlardan
destek almak. İç kontrole ilişkin hiç bir bilgi, tecrübe ve yetkinliği bulunmayan, süreç veya kalite odaklı
dokümantasyon çalışmaları dışında bir çıktı vaat edemeyen NOYA (ne iş olsa yaparız abi) tarzı
danışmanlardan uzak durmak.
9) Kurumun iç denetçilerini, iç kontrol sistemi oluşturma projelerine danışman olarak dahil etmek ve iç
denetçilerin sürecin içinde olmasını sağlamak. Bu sayede, iç kontrolün 5 bileşeninden “İzleme”
unsurunun, sistem henüz tasarlanırken geri bildirimde bulunması sağlanmış olacaktır. Ayrıca, süreçte iç
denetçilerin desteğinin alınması, üst yönetimin desteğinin sağlanması adına da önem taşımaktadır.
10) Dış denetim (Sayıştay Denetimleri) çerçevesinde, iç kontrolün dış denetçiler tarafından da dikkatle
değerlendirilmesi sağlanmalı ve dış denetçilerin, konuya 5018 sayılı kanun çerçevesinde tamamlanması
gereken bir dokümantasyon işi olarak değil, gerçek anlamda kurumun mali ve mali olmayan tüm iş
süreçlerinde riskleri azaltan bir kurumsal sistem olarak bakmaları ve bu tür bir sistemin varlığını
sorgulamaları sağlanmalıdır. Şubat 2013 tarihli Sayıştay Düzenlilik Denetim Rehberi’ nin yayımlanması ile
bu konuda ciddi mesafe alındığını ve Sayıştay Denetçilerinin, bu Rehber çerçevesinde, iç kontrol
konusuna ayrı bir önem vereceklerini söylemek mümkündür.
35
Bu 10 kritik faktörde başarı sağlanabilir ise, iç kontrol çalışmalarını başarı ile planlamak, yürütmek ve
tamamlamak mümkün olacaktır. Faktörlerin çoğu, anlayış, kavrayış, kavramsal mutabakat ve iletişim kalitesi ile
alakalıdır. Bu anlamda, iç kontrol sistemi oluşturmanın temel koşulu, iç kontrolü doğru anlamak, yorumlamak ve
aktarmaktır.
8. Kamu İdarelerinde Etkin İç Kontrol Sistemleri Nasıl Kurulabilir?
Bilindiği üzere, 10/12/2003 tarihli ve 5018 sayılı Kamu Mali Yönetimi ve Kontrol Kanunuyla Türkiye’nin Kamu Malî
Yönetim Sistemi uluslararası standartlar ve Avrupa Birliği uygulamalarına uygun bir şekilde yeniden düzenlenmiş
ve bu kapsamda kamu idareleri genelinde etkin iç kontrol sistemleri oluşturulması amaçlanmıştır.
Bu bağlamda tüm kamu idareleri iç kontrol sistemlerini 5018 sayılı Kanun hükümleri ile İç Kontrol ve Ön Mali
Kontrole İlişkin Usul ve Esaslara ve Kamu İç Kontrol Standartları Tebliğine uyumlu bir şekilde oluşturma,
uygulama, izleme ve geliştirme çalışmalarını sürdürmektedir. Bu çerçevede, pek çok kamu idaresi 5018 sayılı
Kanun ve ilgili diğer mevzuat ile Kamu İç Kontrol Standartları Tebliğinin gerekliliklerini önemli ölçüde karşılayan
eylem planlarını hazırlamış ve Maliye Bakanlığına ulaştırmıştır. Ancak eylem planlarına sahip bu kamu
idarelerinin çok önemli bir kısmı, bünyelerinde etkin bir iç kontrol sistemi oluşturma faaliyetlerine başlamamıştır.
Oysa ki, kamu idarelerinin eylem planlarında yer alan bu çalışmaları en geç 30/6/2011 tarihinde tamamlamaları
beklenmektedir.
Eylem planlarını, Kamu İç Kontrol Standartları Uyum Eylem Planı Rehberine göre hazırlamış olan bu kamu
idarelerinin bünyelerinde etkin bir iç kontrol sistemi oluşturmaya başlayamamalarının arkasında bazı sebepler
yatmaktadır. Bu sebepler genel olarak;
− İç kontrol sistemini uygulama, çalıştırma, izleme ve geliştirmeye yönelik bir metodoloji ve yetkinliğe sahip
olunmaması,
− Konu ile ilgili kamu idarelerinde sahiplik ve sorumluluk anlamında sıkıntılar yaşanıyor olması,
− Geriye dönüş zor ve maliyetli olacağından, hatalı bir iç kontrol sistemi kurmaktan kaçınma,
− İdarelerin önünde iyi bir uygulama örneği bulunmuyor olması,
− Konu ile ilgili olarak makul bir maliyetle danışmanlık alınabilecek tecrübe ve yetkinlikte kişiler bulunamıyor
olması,
− Teşkilatlarının konuyu yeterli düzeyde ciddiye almaması,
− Konu ile ilgili olarak Maliye Bakanlığının yeterli düzeyde rehberlik sağlayamaması
olarak ifade edilebilir.
36
Bilindiği üzere, kamu idarelerinde oluşturulması öngörülen iç kontrol sistemlerinin, baz alınacağı temel mevzuat
olan Kamu İç Kontrol Standartları Tebliği, dünyaca kabul gören bir iç kontrol modeli olan COSO İç Kontrol
Çerçevesinden faydalanılarak oluşturulmuştur. Hatta Tebliğde bahsedilen iç kontrol standartları, COSO İç Kontrol
Modelinde yer alan iç kontrol bileşenleri ile birebir aynıdır. Yine bilindiği üzere, COSO İç Kontrol Çerçevesinde,
bünyelerinde iç kontrol sistemi kurmak isteyen işletme ve kuruluşlara ne yapmaları gerektiği, mevcut sistemlerini
neye göre değerlendirmeleri gerektiği ayrıntılı bir şekilde anlatılmakla birlikte, bunu nasıl yapacakları
açıklanmamıştır. Benzer durum Kamu İç Kontrol Standartları Tebliği açısından da geçerlidir. Her iki politika
dokümanı da “NASIL” sorusuna yanıt vermemektedir. Bir başka deyişle, yol göstermekte ancak detaylı metodoloji
ve araçlar önermemektedir.
O halde ne yapmalı? Kamu idareleri 30/6/2011 tarihine kadar eylem planlarında yer alan çalışmaları nasıl
gerçekleştirecekler? Bu konuda yol haritaları ne olmalı?
İşe eylem planlarının bir tarafa bırakılması ile başlanmalı. Yani eylem planları ilk etapta işe başlamak için doğru
adresler değildir. Eylem planlarından süreç içinde faydalanılacak ve buradaki çalışmalar elbette hayata
geçirilecektir, ancak işe bunlarla değil, çok daha farklı bir strateji ile başlanmasını öneriyoruz. Eylem planları
hazırlık süreçleri ve kapsamları gereği kamu idarelerinde genellikle birkaç kişi tarafından hazırlanmış, teşkilatların
benimsediği veya hazırlanmasına topyekün katkı sağladığı metinler değildir. Bu sebeple, teşkilatlarda bu planların
anlaşılması, benimsenmesi ve uygulanması oldukça zordur. Örgütsel davranış ve örgüt teorisi alanlarındaki
bilgimiz ile kamu sektöründe benzer aşamalardan geçerek kazandığımız tecrübeler bize bunu düşündürmektedir.
Yola sadece mevzuatın gereğini yerine getirmek için ve eylem planlarını her ne pahasına olursa olsun uygulama
amacı ile çıkan kamu idareleri bu araçları amaç haline getirmiş olurlar. Yani işin özünden, sağlaması beklenen
faydadan uzaklaşmış olurlar. Sadece mevzuatın gereğini yerine getirmek için adım atılmış olunur. Oysaki iç
kontrol sistemi = mevzuat değildir! İç kontrol sistemi, mevzuatı da kapsayan, ancak çok daha ötesine geçen
süreçler bütünüdür. İç kontrol sistemleri hatalı, eksik veya baştan savma kurulduğu takdirde, kamu idarelerine
faydadan çok zarar getirir. Gereksiz bürokrasi, verimsizlik, evrak denizleri ve yılgın personel yığınları oluşturur.
O sebeple, konu ile ilgili olarak başlangıç noktası kesinlikle eylem planları olmamalı, farklı stratejiler ile işe
başlanmalıdır.
Örnek bir İç Kontrol Sistemi Kurulum Yol Haritası tarafımızca aşağıda önerilmektedir:
1) Mevcut durum analizinin yapılması ve bir Uygulama Koordinasyon Komitesinin oluşturulması,
2) Proje sorumlularının, takımların ve danışmanların belirlenmesi (idare genelinde ve mümkünse tüm
birimlerin katılımı ile),
3) Projenin sağlıklı ilerlemesini, benimsenmesini ve kaynaklarını sağlayacak iç düzenlemelerin oluşturulması
ve yayınlanması,
4) Proje sorumlusu, ekipler ve diğer görevlilerin eğitilmesi,
37
5) Kurum içi farkındalık ve kabul oluşturma (üst yönetici, birim yöneticileri, taşra teşkilatları vd. yöneticiler ile
teşkilata anlaşılabilir, odaklı, ilgi çekici eğitimler verilmesi, motivasyon sağlanması)
6) Uygulama metodolojisi seçimi (İç Kontrol Standartlarının her biri için uygulama metodolojileri belirlenmesi)
Örnek: Risk Değerlendirme Modeli çerçevesinde risk kontrol tespit yöntemlerinin belirlenmesi,
7) Eylem planlarını da göz önüne alacak uygulama planları oluşturulması,
8) Pilot uygulama çalışmaları ile tecrübe kazanılması,
9) Pilot çalışmalar sonrası kazanılan tecrübeler doğrultusunda, gerekli düzenlemelerin yapılması,
10) Takımların uygulama çalışmalarına başlaması ve çalışmaların periyodik olarak koordinasyon komitesine
raporlanması,
11) Oluşturulan sistemin Tebliğ ve COSO İç Kontrol Çerçevesi dahilinde değerlendirilmesi ve eksikliklerin
giderilmesi için eylem planları oluşturulması.
Bu yol haritası ile ilgili olarak, en önemli üç unsur şunlardır:
1) Konu ile ilgili zaman kısıtı nedeniyle, konunun bir proje şeklinde ve uygun proje yönetim metodolojileri
dahilinde yürütülmesi,
2) Projenin en azından kritik aşamalarında konu ile ilgili uzman kişilerden (daha önce COSO modeli
çerçevesinde iç kontrol sistemi kurulmasına yönelik danışmanlık yapmış, kamuyu iyi tanıyan ve uygun
maliyetli) danışmanlık almak,
3) Konuyu, mevzuat gereği yapılan bir angarya olarak değil, kamu idarelerine çok önemli katkılar
sağlayacak, kaynakların etkin, ekonomik ve verimli kullanımını sağlayacak, hizmet kalitesini artıracak ve
idarelerimizin geleceğine atılan bir imza olarak görmek ve benimsemek gerekmektedir.
38
9. İletişim Bilgileri
IRC Bağımsız Risk Yönetimi ve İç Denetim Hiz. A.Ş.
Web Sitesi: www.controlsolutions.com Telefon: +90 (312) 442 50 15 E-posta: [email protected] [email protected]
Control Solutions International Hakkında
Dünyanın 35 ülkesinde faaliyet gösteren Control Solutions International uluslararası bir danışmanlık şirketidir.
1991 senesinde kurulmuş olan şirket, dünya genelinde 500 danışmana sahip olup, dünyanın en büyük 500 şirketi
olan “Global 500” ün 103 tanesine hizmet vermektedir. Ülkemizde faaliyetlerine IRC Bağımsız Risk Yönetimi ve İç
Denetim Hizmetleri A.Ş. lisansörlüğünde 2009 senesinde başlamış olan Control Solutions International, sahip
olduğu global bilgi birikimi, uzmanlık ve araçları Türk kamu ve özel sektörünün istifadesine sunmaktadır.
Control Solutions International iç kontrol, risk yönetimi, iç denetim, bilgi teknolojileri denetimi, veri analitiği, süreç
yönetimi ve kurumsal yeniden yapılandırma alanlarında uzmanlaşmıştır.
Ankara ve İstanbul’ da iki adet ofis ile müşterilerine hizmet vermekte olan Control Solutions International, dünya
genelinde ve Türkiye’ de kamu, reel sektör ve bankacılık sektöründe büyük bir tecrübeye sahiptir. Yönetim ekibi
ve şirket bünyesinde görev yapan danışmanlar alanlarında ortalama 20 yıl ve üzerinde mesleki deneyime ve
uluslararası mesleki sertifikalara (CIA, CCSA, CISA, CRMA, ACDA, vd.) sahiptirler.
Şirket, 2011-2013 seneleri arasında yürüttüğü ARGE ve yazılım geliştirme faaliyetleri neticesinde, dünyanın 5.,
Türkiye’ nin ilk ve tek GRC (governance, risk, compliance) tam entegre yazılım çözümünü (KIOS) geliştirmiştir.
GRC çözümleri, tüm dünyada kamu idareleri ve şirketlerde, iç kontrol, risk yönetimi, uyum ve iç denetim
faaliyetlerinin etkin bir şekilde oluşturulması ve entegre şekilde yönetilmesine imkan veren araçlardır. Bu
bağlamda, Control Solutions International müşterilerine, iç kontrol, iç denetim, risk yönetimi ve bilgi teknolojileri
alanlarında danışmanlık hizmetleri sağlar iken, müşterilerinin bu hizmetlerden en büyük faydayı sağlaması için
Türkiye mevzuatı, kültürü ve özel koşulları ile uyumlu KIOS GRC yazılımı müşterilerin kullanımına sunmaktadır.
KIOS GRC ile şirket ve kamu idarelerinin iç denetim, risk yönetimi ve iç kontrol faaliyetlerinden kaynaklanan
giderler %50 oranında azaltılmakta, bu sistemlerden sağlanan faydalar ise %70 oranında artırılmaktadır. Yurt
dışındaki emsallerine göre ülkemiz şartlarına ve mevzuatına çok daha uyumlu ve maliyet etkin olan KIOS
yazılımı, taşıdığı önem nedeni ile ülkemiz ulusal ekonomi medyasının da dikkatini çekmiş ve bir çok kez haber
yapılmıştır.
Control Solutions International, aralarında T.C. Başbakanlık, Maliye Bakanlığı SGK, Adalet Bakanlığı, İller
Bankası, Sağlık Bakanlığı, Orman ve Su İşleri Bakanlığı, AB Bakanlığı, Gümrük ve Ticaret Bakanlığı ESGM,
Bilim, Sanayi ve Teknoloji Bakanlığı, KGM, DSİ, DMO, MKE, TPAO, Yurt Dışı Türkler ve Akraba Topluluklar
39
Başkanlığı, Emniyet Genel Müdürlüğü, ASAT, İSKİ, İZSU, KUZKA, Türkiye Adalet Akademisi, Yalova Üniversitesi,
Ondokuz Mayıs Üniversitesi, Adnan Menderes Üniversitesi, Pendik Belediyesi, Ataşehir Belediyesi, Karabağlar
Belediyesi, Küçükçekmece Belediyesi gibi kamu idareleri ile PETKİM, Yüksel Holding, İttifak Holding, Baştaş
Çimento, Hedef Grup, Konya Çimento, Yüksel Proje, Güriş, Akpınar Grup, Düzen Sağlık Grubu, Samur Halı,
Türkiye Finans, Al Baraka, Kızılay ve Kuveyt Türk’ ün de yer aldığı pek çok şirket, banka ve sivil toplum
örgütüne, yukarıdaki uzmanlık alanlarında yüksek kalitede danışmanlık ve eğitim hizmetleri sağlamış ve
sağlamaya devam etmektedir.
